1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
|
<define-tag moreinfo>
Kürzlich wurden zwei Probleme in glibc gefunden, die dazu verwendet werden
könnte, setuid-Anwendungen auszutricksen und willkürlichen Code auszuführen.
<p>Das erste Problem ist die Art, wie ld.so Umgebungsvariablen behandelt: Um
eine sichere Umgebung für setuid-Anwendungen zur Verfügung zu stellen, löscht
es gewisse Umgebungsvariablen, die Anwendungsausführungen beeinflussen können,
wie LD_PRELOAD und LD_LIBRARY_PATH. Unglücklicherweise gab es einen Fehler,
der ld.so dazu bringen konnte, sie nicht zu löschen, wenn sie eine andere
Anwendung ausführen, ohne die Privilegien abzugeben oder selbst die Umgebung
zu säubern.
<p>Das zweite Problem ist die locale Behandlung in glibc. glibc prüft auf
Zeichen wie `/' in den LANG- und LC_*-Umgebungsvariablen, um zu sehen, ob jemand
das Programm auszutricksen versucht, um willkürliche Dateien zu lesen.
Unglücklicherweise befanden sich einige logische Fehler in diesen Prüfungen,
die dazu verwendet werden konnten, um setuid-Anwendungen dazu zu bringen,
willkürliche Dateien für lokalisierte Einstellungen zu verwenden, was
ausgenutzt werden kann, um willkürlichen Code ausführen zu lassen.
<p>Diese Probleme wurden in Version 2.0.7.19981211-6.3 für Debian GNU/Linux
2.1 (Slink) und 2.1.3-13 für Debian GNU/Linux 2.2 (Potato) behoben. Wir
empfehlen Ihnen, Ihr glibc-Paket unverzüglich zu aktualisieren.
</define-tag>
<define-tag description>Lokale root-Ausbeutung</define-tag>
# do not modify the following line
#include '$(ENGLISHDIR)/security/2000/20000902.data'
#use wml::debian::translation-check translation="c2a5035b44cfa7eae6bf8d60b4f49d5994077379"
# $Id$
|
