Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:L/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
xaos
(any)
Описание
XaoS, программа просмотра фрактальных изображений, на некоторых
архитектурах устанавливается с флагом setuid-root, чтобы использовать
библиотеку svgalib, требующую доступа к аппаратной видео-подсистеме.
Тем не менее, программа не обеспечивает безопасного выполнения с
этим флагом, и это может быть использовано для присвоения привилегий
пользователя root.
В обновлённых пакетах бит setuid с двоичного файла xaos снят.
Пользователи, которым требуется функциональность svgalib, могут дать
эти привилегии некоторой пользующейся доверием группе.
Эта уязвимость может быть использована в версии 3.0-18 (potato)
на архитектурах i386 и alpha, в версии 3.0-23 (woody) только на
архитектуре i386.
В стабильном дистрибутиве (woody) эта проблема исправлена
в версии 3.0-23woody1.
В старом стабильном дистрибутиве (potato) эта проблема исправлена
в версии 3.0-18potato1.
В нестабильном дистрибутиве (sid) эта проблема исправлена
в версии 3.1r-4.
Мы рекомендуем вам обновить пакет xaos.
архитектурах устанавливается с флагом setuid-root, чтобы использовать
библиотеку svgalib, требующую доступа к аппаратной видео-подсистеме.
Тем не менее, программа не обеспечивает безопасного выполнения с
этим флагом, и это может быть использовано для присвоения привилегий
пользователя root.
В обновлённых пакетах бит setuid с двоичного файла xaos снят.
Пользователи, которым требуется функциональность svgalib, могут дать
эти привилегии некоторой пользующейся доверием группе.
Эта уязвимость может быть использована в версии 3.0-18 (potato)
на архитектурах i386 и alpha, в версии 3.0-23 (woody) только на
архитектуре i386.
В стабильном дистрибутиве (woody) эта проблема исправлена
в версии 3.0-23woody1.
В старом стабильном дистрибутиве (potato) эта проблема исправлена
в версии 3.0-18potato1.
В нестабильном дистрибутиве (sid) эта проблема исправлена
в версии 3.1r-4.
Мы рекомендуем вам обновить пакет xaos.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
ppc:
xaos - 3.0-23woody1
s390x:
xaos - 3.0-23woody1
m68k:
xaos - 3.0-23woody1
i686:
xaos - 3.0-23woody1
hppa:
xaos - 3.0-23woody1
sparc:
xaos - 3.0-23woody1
alpha:
xaos - 3.0-23woody1
ia64:
xaos - 3.0-23woody1
mips:
xaos - 3.0-23woody1
mipsel:
xaos - 3.0-23woody1
arm:
xaos - 3.0-23woody1
Debian GNU/Linux 2.2:
ppc:
xaos - 3.0-18potato1
m68k:
xaos - 3.0-18potato1
i686:
xaos - 3.0-18potato1
sparc:
xaos - 3.0-18potato1
alpha:
xaos - 3.0-18potato1
arm:
xaos - 3.0-18potato1
Debian GNU/Linux 3.0:
ppc:
xaos - 3.0-23woody1
s390x:
xaos - 3.0-23woody1
m68k:
xaos - 3.0-23woody1
i686:
xaos - 3.0-23woody1
hppa:
xaos - 3.0-23woody1
sparc:
xaos - 3.0-23woody1
alpha:
xaos - 3.0-23woody1
ia64:
xaos - 3.0-23woody1
mips:
xaos - 3.0-23woody1
mipsel:
xaos - 3.0-23woody1
arm:
xaos - 3.0-23woody1
Debian GNU/Linux 2.2:
ppc:
xaos - 3.0-18potato1
m68k:
xaos - 3.0-18potato1
i686:
xaos - 3.0-18potato1
sparc:
xaos - 3.0-18potato1
alpha:
xaos - 3.0-18potato1
arm:
xaos - 3.0-18potato1
Ссылки
http://www.debian.org/security/dsa-310/
Источник: CVE
Наименование: CVE-2003-0385
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0385
Источник: CVE
Наименование: CVE-2003-0385
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0385