blob: 67342757294a86de51b5f42f4e52ab5173ba31f3 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
|
#use wml::debian::translation-check translation="5538d3c48210bed050c6a7d23dc8e0866467781d" maintainer="juanma"
<define-tag description>escalada de privilegios</define-tag>
<define-tag moreinfo>
<p>Steve Kemp descubrió una vulnerabilidad en xatitv, uno de los
programas del proyecto gatos que se usa para mostrar vídeo con
ciertas tarjetas de vídeo de ATI.</p>
<p>xatitv se instalaba con setuid root para obtener acceso directo
al hardware de vídeo. Normalmente, soltaba los privilegios de root
tras inicializarse con éxito. Sin embargo, si fallaba la inicialización
debido a que no se encontrara un archivo de configuración, los
privilegios de root no se liberaban, y xatitv ejecutaba la función
system(3) para lanzar su programa de configuración sin sanear las
variables de entorno proporcionadas por el usuario.</p>
<p>Aprovechándose de esta vulnerabilidad, un usuario local podía
obtener privilegios de root si el archivo de configuración no
existiera. Sin embargo, con el paquete se suministraba un archivo
predefinido de configuración, y por tanto, no se podía sacar
provecho de esta vulnerabilidad a no ser que el administrador hubiera
eliminado este archivo.</p>
<p>Para la distribución estable actual (woody), este problema se ha
corregido en la versión 0.0.5-6woody1.</p>
<p>Para la distribución inestable (sid), este problema se corregirá
en breve.</p>
<p>Le recomendamos que actualice el paquete gatos.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-509.data"
# $Id$
|
