aboutsummaryrefslogtreecommitdiffstats
path: root/danish/security/2003/dsa-364.wml
blob: e474503681a380893922db39cefa4779ed73f645 (plain) (blame) 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41

<define-tag description>bufferoverløb, vilkårlig kommandoudførelse</define-tag>
<define-tag moreinfo>
<p>man-db leverer den almindelige man(1)-kommando på Debian-systemer.  Under
opsætningen af denne pakke, bliver administratoren sprugt om man(1) skal køre
setuid til en bestemt bruger ("man") for at kunne have et mellemlager af 
præformatterede manualsider.  Standarden for man(1) er IKKE at være setuid og
der er ingen kendte udnyttelse ved denne opsætning.  Hvis bruger dog eksplicit
beder om setuid-indstillingen, kunne en lokal angriber udnytte følgende fejl til
at udføre vilkårlig kode som brugeren "man".</p>

<p>Igen, disse sårbarheder påvirker ikke standardopsætningen hvor man ikke er 
setuid.</p>

<ul>
<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0620">\
  CAN-2003-0620</a>: Flere bufferoverløb i man-db 2.4.1 og tidligere, når 
  installeret setuid, gør det muligt for lokale brugere at opnå rettigheder ved
  hjælp af (1) argumenterne MANDATORY_MANPATH, MANPATH_MAP og MANDB_MAP til
  add_to_dirlist i manp.c, (2) et langt stinavn til ult_src i ult_src.c, (3) et
  langt .so-argument til test_for_include i ult_src.c, (4) en lang 
  MANPATH-miljøvariabel eller (5) en lang PATH-miljøvariabel.</li>

<li><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0645">\
  CAN-2003-0645</a>: Visse DEFINE-direktiver i <code>~/.manpath</code>, der indeholdt
  kommandoer der skal udføres, blev udført selvom programmet kørte setuid,
  hvilket gjorde det muligt for enhver bruger at udføre kommandoer som brugeren
  "man".</li>
</ul>

<p>I den nuværende stabile distribution (woody), er disse problemer
rettet i version 2.3.20-18.woody.4.</p>

<p>I den ustabile distribution (sid), er disse problemer rettet i
version 2.4.1-13.</p>

<p>Vi anbefaler at du opdaterer din man-db-pakke.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-364.data"
#use wml::debian::translation-check translation="793ef2aaf7ac1e7953d45aed262afca75ae7986e" mindelta="1"

© 2014-2024 Faster IT GmbH | imprint | privacy policy