Vulnerability Bulletins |
Compromiso root mediante la herramienta xatitv del paquete gatos |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Compromiso Root |
| Dificulty | Experto |
| Required attacker level | Acceso remoto con cuenta |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software | gatos |
Description |
|
|
Se ha descubierto una vulnerabilidad en xatitv, uno de los programas incluidos en el paquete gatos, usado para mostrar video con algunas tarjetas de video ATI. Xatitv se instala con el bit setuid root para conseguir acceso directo al hardware de video. Normalmente xatitv abandona los privilegios de root después de la inicialización a no ser que no exista el archivo de configuración, en tal caso xatitv ejecuta la función system para arrancar el programa de configuración sin validar las variantes de entorno proporcionadas por el usuario. La explotación de esta vulnerabilidad podría permitir a un atacante local conseguir privilegios de root siempre que el archivo de configuración no exista. |
|
Solution |
|
|
Actualización de software Debian Linux Debian Linux 3.0 Source http://security.debian.org/pool/updates/main/g/gatos/gatos_0.0.5-6woody1.dsc http://security.debian.org/pool/updates/main/g/gatos/gatos_0.0.5-6woody1.diff.gz http://security.debian.org/pool/updates/main/g/gatos/gatos_0.0.5.orig.tar.gz Intel IA-32 http://security.debian.org/pool/updates/main/g/gatos/gatos_0.0.5-6woody1_i386.deb http://security.debian.org/pool/updates/main/g/gatos/libgatos-dev_0.0.5-6woody1_i386.deb http://security.debian.org/pool/updates/main/g/gatos/libgatos0_0.0.5-6woody1_i386.deb |
|
Standar resources |
|
| Property | Value |
| CVE | CAN-2004-0395 |
| BID | |
Other resources |
|
|
Debian Security Advisory DSA 509-1 http://lists.debian.org/debian-security-announce/debian-security-announce-2004/msg00109.html |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2004-06-01 |