Conheça a nossa empresaNotícias de informática e segurançaBoletins, artigos, livros e dicas sobre segurançaO que oferecemosArquivos sobre segurançaUm apoio culturalFale com a Pangeia

 


 

 

 

SEGURANÇA

Boletim 005/96 da Lista de Segurança da Pangéia Informática

27 de Agosto de 1996

Tópico: Vulnerabilidade em PKGTOOL

Verificada uma vulnerabilidade no programa pkgtool, que permite a
instalação/remoção de pacotes na distribuição Slackware 3.0 do Linux.
Esta vulnerabilidade permite a um usuário local obter acesso a conta de
qualquer usuário quando da execução do programa pkgtool, inclusive o root.

1. Impacto:


Foi observada uma falha no programa de instalação de pacotes PKGTOOL,
na criação de arquivos temporarios. Como é normalmente o usuário root
que instala/remove pacotes, um usuario comum usando esta vulnerabilidade,
poderá obter acesso privilegiado em uma instalação local.

2. Solução:


Esta vulnerabilidade foi testada na distribuição slackware 3.0, *não* esta
descartada a possibilidade da mesma ocorrer em outras versões da mesma
distribuição. O problema foi corrigido e o procedimento de instalação é
simplesmente copiar o programa "cpkgtool" para o diretório "/usr/lib/setup",
que está simbolicamente ligado a "/sbin/pkgtool".

O pacote pgktool está disponível em:

ftp://ftp.pangeia.com.br/pub/seg/pac/cpktool


3. Informações adicionais:


Assinatura do arquivo usando o utilitário md5:

76d0c8581019ed10a89e454c00f3d23c	cpkgtool

http://www.pangeia.com.br/faq.html

nelson@pangeia.com.br


4. Agradecimentos:


Klaus Steding-jessen (jessen@dcc.unicamp.br)

 


Voltar
Início

Copyright © 1995 - 2000 Pangeia Informática LTDA. Todos os direitos reservados.