-------------------------------------------------------------------------- Alerta de Segurança Debian DSA 310-1 security@debian.org http://www.debian.org/security/ Matt Zimmerman 09 de junho de 2003 http://www.debian.org/security/faq -------------------------------------------------------------------------- Pacote : xaos Vulnerabilidade : execução setuid-root inadequada Tipo de Problema : local Específico ao Debian : não XaoS, um programa de exibição de imagens fractais, é instalado como setuid root em certar arquiteturas para usar a svgalib, que requer acesso ao hardware de vídeo. No entanto, isto não foi desenhado para uma execução setuid segura e pode ser explorado para obter privilégios de root. Nestes pacotes atualizados, o bit setuid foi removido do binário xaos. Usuários que precisam da funcionalidade da svgalib devem garantir estes privilégios somente a um grupo confiável. Esta vulnerabilidade é explorada na versão 3.0-18 (potato) nas arquiteturas i386 e alpha e na versão 3.0-23 (woody) somente na arquitetura i386. Na atual distribuição estável (woody), este problema foi corrigido na versão 3.0-23woody1. Na antiga distribuição estável (potato), este problema foi corrigido na versão 3.0-18potato1. Na distribuição instável (sid), este problema foi corrigido na versão 3.1r-4. Nós recomendamos que você atualize seus pacotes xaos. -------------------------------------------------------------------------- Essa é uma tradução do DSA original, enviado para a lista debian-security-announce@lists.debian.org. Caso queira receber os alertas em inglês e minutos depois de sua publicação, inscreva-se na lista acima, através do endereço: http://www.debian.org/MailingLists/subscribe#debian-security-announce --------------------------------------------------------------------------
Attachment:
pgpVU2g7C_NvE.pgp
Description: PGP signature