blob: 8dc18ea882fa641d590c1c4e8db2669d8b9a95a9 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
|
#use wml::debian::translation-check translation="55a70d0c0f3df8d4df237334ac6de72daaa99f73"
<define-tag moreinfo>La versión de Vixie Cron incluida en Debian GNU/Linux 2.2
es vulnerable a un ataque local, decubierto por Michal Zalewski. Algunos
problemas, incluyendo permisos inseguros en archivos temporales y condiciones
de fuga en su borrado, permitían a los atacantes una denegación de servicio
(previniendo la edición de crontabs) para una escalada de privilegios (cuando
otro usuario editaba su crontab).
<p>Como apaño temporal, "chmod go-rx
/var/spool/cron/crontabs" previene la única explotación disponible; sin
embargo, no corrige el problema. Le recomendamos que actualice a la versión
3.0pl1-51.1 para Debian 2.2, o 3.0pl1-61, para Debian inestable.
<p>También, en los nuevos paquetes cron, ya no es posible más especificar
archivos especiales (dispositivos, tuberías nombradas, etc.) por nombro al
crontabl. Fíjese en que esto no es tanto una reparación de seguridad como una
comprobación de salud.
<p>Nota: Debian GNU/Linux 2.1 es vulnerable a este ataque. Le recomendamos que
actualice a Debian GNU/Linux 2.2 (potato).
</define-tag>
<define-tag description>escalada de privilegios local</define-tag>
# do not modify the following line
#include '$(ENGLISHDIR)/security/2000/20001118a.data'
|
