blob: e36822ba0473b134f32bfee8bbfcdafddc6d2ccd (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
|
#use wml::debian::translation-check translation="55a70d0c0f3df8d4df237334ac6de72daaa99f73" maintainer="Lev Lamberov"
<define-tag moreinfo>Версия Vixie Cron, поставляемая в составе Debian
GNU/Linux 2.2, уязвима к локальным атакам, обнаруженным Михалом
Залевски. Несколько проблем, включая небезопасный права доступа к
временным файлам и состояния гонки при удалении этих файлов, позволяют
вызывать отказ в обслуживании (невозможность редактирования таблиц cron) и
повышать привилегии (когда пользователь редактирует чужие таблицы cron).
<p>В качестве временного исправления можно использовать "chmod go-rx
/var/spool/cron/crontabs", которая предотвращает единственную доступную уязвимость;
тем не менее, это не решает проблемы. Рекомендуется выполнить
обновление до версии 3.0pl1-57.1 для Debian 2.2 или до версии 3.0pl1-61 для
нестабильного выпуска Debian.
<p>Кроме того, при использовании новых пакетов cron больше нельзя указывать
специальные файлы (устройства, именованные каналы и проч.) по имени в таблице cron. Заметьте,
что это скорее не исправление безопасности, а лишь проверка
работоспособности и исправности.
<p>Заметьте: Debian GNU/Linux 2.1 уязвим к указанной атаке. Рекомендуется
выполнить обновление до Debian GNU/Linux 2.2 (potato).
</define-tag>
<define-tag description>локальное повышение привилегий</define-tag>
# do not modify the following line
#include '$(ENGLISHDIR)/security/2000/20001118a.data'
|
