• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-348-1 traceroute-nanog -- целочисленное переполнение, переполнение буфера

Главная Специалистам База уязвимостей DSA-348-1 traceroute-nanog -- целочисленное переполнение, переполнение буфера

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Описание
traceroute-nanog, усовершенствованная версия популярной программы
traceroute, содержит возможность выхода за границы допустимых целочисленных
значений, что может использоваться для выполнения произвольного кода.
У этой программы установлен флаг setuid root, но она прекращает пользоваться
этими привилегиями сразу после обработки "голых" сокетов ICMP и IP.
Таким образом, эксплуатация этой ошибки даст только доступ к этим
сокетам, но не привилегии пользователя root.
В стабильном дистрибутиве (woody) эта проблема исправлена
в версии 6.1.1-1.3.
В нестабильном дистрибутиве (sid) эта проблема будет исправлена
в ближайшее время. См. сообщение об ошибке Debian #200875.
Мы рекомендуем вам обновить пакет your traceroute-nanog.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
ppc:
traceroute-nanog - 6.1.1-1.3
s390x:
traceroute-nanog - 6.1.1-1.3
m68k:
traceroute-nanog - 6.1.1-1.3
i686:
traceroute-nanog - 6.1.1-1.3
hppa:
traceroute-nanog - 6.1.1-1.3
sparc:
traceroute-nanog - 6.1.1-1.3
alpha:
traceroute-nanog - 6.1.1-1.3
ia64:
traceroute-nanog - 6.1.1-1.3
mips:
traceroute-nanog - 6.1.1-1.3
mipsel:
traceroute-nanog - 6.1.1-1.3
arm:
traceroute-nanog - 6.1.1-1.3
Ссылки
http://www.debian.org/security/dsa-348/

Источник: CVE
Наименование: CVE-2003-0453
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0453