Software::Security
Sicherheitslücken in mehreren Programmen
Der Fehlerteufel hat wieder zugeschlagen.
Das schwerwiegendste Problem wurde in den modutils gefunden. Durch einen fragwürdigen externen Programmaufruf kann ein Benutzer Root-Rechte bekommen. Das Paradoxe an diesem Fall ist, daß das Programm modprobe Argumente, die es vom Kernel bekommt, als nicht vertrauenswürdig behandeln muß. Das liegt daran, daß ein Teil dieser Argumente letztlich doch vom Benutzer kommt. Ein Update auf Version 2.3.20 behebt das Problem vollständig. Update-Pakete gibt es von Red Hat und Mandrake. Zuvor hatte schon SuSE ein Update (wir berichteten).
Das Druckspoolsystem CUPS hat ein Permission-Problem. In der Defaulteinstellung sind alle Netzwerkdrucker von jedem Benutzer nutzbar. Updates gibt es von Mandrake und Debian. Die einfachste Möglichkeit ist es aber, die Konfigurationsdatei /etc/cups/cupsd.conf anzupassen.
Mehrere Pufferüberläufe in tcpdump meldet SuSE. Diese sind gefährlich, weil tcpdump nur unter dem Root-Account laufen kann.
Ein Update für das DoS-Problem in BIND hat nun auch SuSE. Ein Update für das fehlerhafte X11 Forwarding in OpenSSH hat nun auch Debian.
Einen Pufferüberlauf in Netscape korrigiert ein neues Paket von Red Hat. Das Update installiert Netscape 4.76. Das Problem bestand darin, daß ein Webserver, den der Benutzer ansteuerte, beliebigen Code auf dem Rechner ausführen konnte, auf dem Netscape installiert ist.
Debian schließlich erkannte mehrere Probleme in Vixie-Cron und hat ein Update bereitgestellt.
