Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:L/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
libsasl-gssapi-mit
(any)
libsasl-krb4-mit
(any)
Описание
Обнаружена уязвимость в реализации Cyrus библиотеки SASL, Simple
Authentification and Security Layer, метода добавления поддержки
авторизации в протоколы, основанные на соединении. Библиотека слепо
использует переменную среды SASL_PATH, что позволяет локальному пользователю
скомпоновать программу с поддельной библиотекой и выполнить произвольный
код с привилегиями приложения с установленным флагом setuid или setgid.
Версия реализации Cyrus библиотеки SASL выпуска MIT связывает библиотеку
с MIT GSSAPI и MIT Kerberos4.
В стабильном дистрибутиве (woody) эта проблема исправлена
в версии 1.5.24-15woody3.
В нестабильном дистрибутиве (sid) эта проблема будет исправлена
в ближайшее время.
Мы рекомендуем вам обновить пакеты libsasl.
Authentification and Security Layer, метода добавления поддержки
авторизации в протоколы, основанные на соединении. Библиотека слепо
использует переменную среды SASL_PATH, что позволяет локальному пользователю
скомпоновать программу с поддельной библиотекой и выполнить произвольный
код с привилегиями приложения с установленным флагом setuid или setgid.
Версия реализации Cyrus библиотеки SASL выпуска MIT связывает библиотеку
с MIT GSSAPI и MIT Kerberos4.
В стабильном дистрибутиве (woody) эта проблема исправлена
в версии 1.5.24-15woody3.
В нестабильном дистрибутиве (sid) эта проблема будет исправлена
в ближайшее время.
Мы рекомендуем вам обновить пакеты libsasl.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
ppc:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
s390x:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
m68k:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
i686:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
hppa:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
sparc:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
alpha:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
ia64:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
mips:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
mipsel:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
arm:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
Debian GNU/Linux 3.0:
ppc:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
s390x:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
m68k:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
i686:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
hppa:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
sparc:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
alpha:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
ia64:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
mips:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
mipsel:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
arm:
libsasl-gssapi-mit - 1.5.24-15woody3
libsasl-krb4-mit - 1.5.24-15woody3
Ссылки
http://www.debian.org/security/dsa-568/
Источник: CVE
Наименование: CVE-2004-0884
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0884
Источник: CVE
Наименование: CVE-2004-0884
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0884