Secunia - Stay Secure
Home Corporate Website Jobs Updated Mailing Lists RSS Blog  Online Shop Advertise
Software Inspectors
  Scan Online
  Personal (PSI)
  Network (NSI 2.0)

Solutions For
  Security Professionals
  Security Vendors

Free Solutions For
  Open Communities
  Journalists & Media

Secunia Advisories
  Search
  Historic Advisories
  Listed By Product
  Listed By Vendor
  Statistics / Graphs
  Secunia Research
  Report Vulnerability
  About Advisories

Virus Information
  Chronological List
  Last 10 Virus Alerts
  About Virus Information

Secunia Customers
  Customer Area


Debian debian-goodies Ausführung von Kommandos Advisory Available in English  Advisory Available in Danish 

Secunia Advisory: SA26675  
Herausgegeben: 2007-09-06
Last Update: 2008-03-25

Gefahrenstufe:
Weniger kritisch
Auswirkung: Erweiterung von Rechten
Von Wo: Auf dem lokalen System
Lösungsstatus: Hersteller-Patch

OS:Debian GNU/Linux 3.1
Debian GNU/Linux 4.0
Debian GNU/Linux unstable alias sid


CVE reference:CVE-2007-3912 (Secunia mirror)
Want to know the next time vulnerabilities are fixed in this product?
- Companies can be alerted via email and SMS!


Beschreibung:
Thomas de Grenier de Latour hat eine Sicherheitslücke im Paket debian-goodies für Debian Linux entdeckt, die böswillige lokale Benutzer ausnutzen können, um Aktionen mit erweiterten Rechten auszuführen.

Die Sicherheitslücke besteht in einem Fehler in der Überprüfung von Eingaben innerhalb des Scripts "checkrestart" beim Einlesen der Prozessliste. Dieser kann ausgenutzt werden, um Kommandos mit "Root"-Privilegien auszuführen, indem man ein Programm mit einem speziell präparierten Dateinamen aufruft und ein administrativer Benutzer "checkrestart" ausführt.

Die Sicherheitslücke wurde in Version 0.27, enthalten in Debian stable bestätigt und ebenfalls in Version 0.33 gemeldet. Andere Versionen können ebenfalls betroffen sein.

Lösung:
Verwenden Sie die aktualisierten Pakete.

-- Debian GNU/Linux 3.1 alias sarge --

Source archives:

http://security.debian.org/pool/updat...ies/debian-goodies_0.23+sarge1.tar.gz
Size/MD5 checksum: 11779 e0834e7e962fabc65362a60c73362585
http://security.debian.org/pool/updat...oodies/debian-goodies_0.23+sarge1.dsc
Size/MD5 checksum: 819 37eb124fef7c9897ea41ec861ec740ff

Architecture independent packages:

http://security.debian.org/pool/updat...es/debian-goodies_0.23+sarge1_all.deb
Size/MD5 checksum: 22488 c8bc8eab12c7e3f29e53f4172ee837a4

-- Debian GNU/Linux 4.0 alias etch --

Source archives:

http://security.debian.org/pool/updat...goodies/debian-goodies_0.27+etch1.dsc
Size/MD5 checksum: 836 8653d033f9e6b9f0949fab2cc1813970
http://security.debian.org/pool/updat...dies/debian-goodies_0.27+etch1.tar.gz
Size/MD5 checksum: 28708 089ff8f154eb3fe4bc47dd85f1581a65

Architecture independent packages:

http://security.debian.org/pool/updat...ies/debian-goodies_0.27+etch1_all.deb
Size/MD5 checksum: 36868 2739973911e8b0d9ec12559507f6a708

-- Debian GNU/Linux unstable alias sid --

Behoben in Version 0.34.

Gemeldet und/oder entdeckt von:
Thomas de Grenier de Latour

Änderungen:
2008-03-25: "Lösung" aktualisiert. Link zu "Original Advisory"-Bereich hinzugefügt.

Original Advisory:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=440411
http://www.debian.org/security/2008/dsa-1527


Please note: The information that this Secunia Advisory is based on comes from a third party unless stated otherwise.

Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.

1269 Related Secunia Security Advisories, displaying 10

1. Debian Update für tiff
2. Debian Update für libxml2
3. Debian Update für linux-2.6
4. Debian Update für postfix
5. Debian Update für pdns
6. Debian Update für httracker
7. Debian Update für opensc
8. Debian Update für cupsys
9. Debian Update für libxslt
10. Debian Update für newsx

Show all related advisories


Send Feedback to Secunia

If you have new information regarding this Secunia advisory or a product in our database, please send it to us using either our web form or email us at vuln@secunia.com.

Ideas, suggestions, and other feedback are most welcome.








Secunia PSI
Scan | Patch | Track
Free Download

Secunia Poll

Do you think it's important to read Setup/User Guides for applications for use within your network?


See Results   


Most Popular Advisories

1.
phpJobScheduler "installed_conf ig_file" File Inclusion Vulnerabilities
2.
Subdreamer Light Global Variables SQL Injection Vulnerability
3.
HP TCP/IP Services for OpenVMS Finger Format String Vulnerability
4.
dotProject SQL Injection and Cross-Site Scripting
5.
Slackware update for amarok
6.
Caudium "configvar" Insecure Temporary Files
7.
Sun Solaris Kernel Covert Channel Security Bypass
8.
Blogn Cross-Site Scripting and Cross-Site Request Forgery
9.
phpMyRealty "price_max" SQL Injection Vulnerability
10.
Novell eDirectory Multiple Vulnerabilities





Vulnerability Management - Terms & Conditions - Copyright 2002-2008 Secunia - Compliance - Contact Secunia