SEGURANÇA
Boletim
006/96 da Lista de Segurança da Pangéia Informática
3
de Setembro de 1996
Tópico:
Vulnerabilidade em TIN
Verificada uma vulnerabilidade no programa tin,
que permite a
leitura de news locais e remotos (rtin ou tin -r)
em várias plataformas.
Esta vulnerabilidade permite a um usuário local obter
acesso a conta de
qualquer usuário quando da execução do programa tin,
inclusive o root.
1. Impacto:
Foi observada uma falha no programa de leitura de
news locais e remotos tin
na criação de arquivos temporários. Atraves dela um
usuário local poderá
obter acesso privilegiado em uma instalação.
2. Solução:
Esta vulnerabilidade foi verificada em TODAS as versoes
do programa tin,
inclusive na última (1.2 PL2), compilados em TODAS
as plataformas onde
ele está disponível.
Uma forma simples de resolver este problema é recompilar
o programa,
incluindo ou alterando a seguinte linha no programa
Makefile:
COPTS = -c -O -DDONT_LOG_USER
O pacote tin com a correção também está disponível
em:
ftp://ftp.pangeia.com.br/pub/seg/pac/tin-1.22.tar.gz
3. Informações adicionais:
Assinatura do arquivo tin-1.22.tar.gz usando o utilitário
md5:
31fbd05ab782f69a3a67499128a8c335 tin-1.22.tar.gz
http://www.pangeia.com.br/faq.html
|