blob: 8deca1e7865ccd441a5ddf02e76e7e548fd0084b (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
|
<define-tag moreinfo>Die Version von Vixie Cron, die mit Debian GNU/Linux 2.2
verteilt wird, ist für einen lokalen Angriff verwundbar, der von Michal
Zalewski entdeckt wurde. Mehrere Probleme, die unsichere Berechtigungen für
temporäre Dateien und Ablauf-Bedingungen während deren Löschung beinhalten,
erlauben Angriffe von einem denial-of-service (das Verhindern des Editierens
von crontabs) bis zu einem Anheben von Privilegien (wenn andere Benutzer ihren
crontab editieren).
<p>Als temporäre Behebung verhindert "chmod go-rx
/var/spool/cron/crontabs" die einzig verfügbare Ausnutzung; jedoch geht
es das Problem nicht wirklich an. Wir empfehlen Ihnen, auf Version 3.0pl1-57.1
für Debian 2.2 oder 3.0pl1-61 für Debian unstable zu aktualisieren.
<p>Ebenfalls ist es in den neuen cron-Paketen nicht länger möglich, spezielle
Dateien (Devices, Named-Pipes, usw.) als Name für crontab anzugeben. Beachten
Sie, das dies nicht so sehr eine Sicherheitsbehebung als eher eine
Vernunftsprüfung ist.
<p>Beachten Sie: Debian GNU/Linux 2.1 ist für diesen Angriff verwundbar. Wir
empfehlen Ihnen, auf Debian GNU/Linux 2.2 (Potato) zu aktualisieren.
</define-tag>
<define-tag description>Lokale Privileg-Anhebung</define-tag>
# do not modify the following line
#include '$(ENGLISHDIR)/security/2000/20001118a.data'
#use wml::debian::translation-check translation="55a70d0c0f3df8d4df237334ac6de72daaa99f73"
# $Id$
|
