Sigurnosni nedostatak u programskom paketu Shadow

U programskom paketu Shadow otkriven je sigurnosni nedostatak. Shadow je skup programa koji se koriste za pretvorbu datoteka s UNIX zaporkama u "shadow" format, te za upravljanje korisničkim računima pojedinaca i grupa. Propust se javlja zbog  pogrešaka prilikom prijave na sustav.

Lokalni napadač moze iskoristiti takvu situaciju za prepisivanje proizvoljnih datoteka pomoću tzv. "symlink" napada te za povećanje ovlasti na ranjivom sustavu. Uspješna zlouporaba uključuje stjecanje kontrole nad datotekom "utmp".

Ova ranjivost ima oznake: CVE-2008-5394 i DSA-1709-1.

Propust je ispravljen u paketima login i passwd verzije 4.0.18.1-7+etch1 za Debian etch.

Nove pakete za Debian etch možete instalirati na uobičajeni način:

apt-get update
apt-get upgrade

Ako želite instalirati samo ove pakete:

apt-get update
apt-get -y install login passwd

Više o tome na:
http://www.debian.org/security/2009/dsa-1709

CARNet, Grupa za izradu paketa
paketi@carnet.hr
http://paketi.carnet.hr/

čet, 2009-01-22 14:41 - Toni Pralas
Vijesti: 
Sigurnosni propusti
Vote: 
0
No votes yet