blob: bfef24a881a4739ba55d4ebdd0996f99b4b20dfb (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
|
#use wml::debian::translation-check translation="5538d3c48210bed050c6a7d23dc8e0866467781d"
<define-tag description>присвоение привилегий</define-tag>
<define-tag moreinfo>
<p>Стив Кемп (Steve Kemp) обнаружил уязвимость в xatitv, одной из
программ пакета gatos, используемого для отображения видео на некоторых
видеокартах ATI.</p>
<p>У xatitv установлен флаг setuid root, чтобы дать прямой доступ к
аппаратной видеоподсистеме. В норме программа отказывается от привилегий
суперпользователя после успешной инициализации. Однако, если инициализацию
произвести не удалось по причине отсутствия файла конфигурации,
программа не отказывается от привилегий, и xatitv использует вызов system(3)
для запуска программы настройки, не проверяя заданные пользователем
переменные среды.</p>
<p>Используя эту уязвимость, локальный пользователь может присвоить
привилегии суперпользователя, если файл конфигурации не существует.
Однако, с пакетом поставляется файл конфигурации по умолчанию,
и таким образом, уязвимость может использоваться только если этот
файл был удалён администратором.</p>
<p>В текущем стабильном дистрибутиве (woody) эта проблема исправлена
в версии 0.0.5-6woody1.</p>
<p>В нестабильном дистрибутиве (sid) эта проблема будет исправлена
в ближайшее время.</p>
<p>Мы рекомендуем вам обновить пакет gatos.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2004/dsa-509.data"
|
