от Валери Дачев(12-01-2001)
Новината е предоставена от Валери Дачев [valery@linux.zonebg.com]
glibc-2.2 съдържа локална уязвимост, която засяга всички
setuid root изпълними
файлове. Всеки потребител на засегнатата система може да
чете който и да е
файл на системата чрез прост процес: Потребителят установява
RESOLV_HOST_CONF
променливата на средата с името на файла, който иска да
прочете, и след това
стартира която и да е setuid root програма, която използва
тази променлива.
Файлът се изписва на stderr.
Оригиналната обява на BugTraq може да бъде прочетена на
следния URL:
http://www.securityfocus.com/archive/1/155352
На потребителите на Slackware-current силно се препоръчва да
обновят до
новите glibc пакети в -current дървото.
===========================================================
glibc 2.2 ДОСТЪПЕН - (a1/glibcso.tgz, d1/glibc.tgz)
===========================================================
ИНФОРМАЦИЯ ЗА ПАКЕТА:
---------------------
a1/glibcso.tgz:
Този пакет съдържа библиотеките за работа от glibc
2.2. Всички потребители
на Slackware-current трябва да обновят този
пакет.
d1/glibc.tgz:
Това е пълният glibc 2.2 пакет, пълен с header-и и
статични библиотеки.
Ако сте инсталирали този пакет, трябва да го
обновите.
КЪДЕ ДА НАМЕРИТЕ НОВИТЕ ПАКЕТИ:
-------------------------------
Всички нови пакети могат да бъдат намерени в -current
дървото:
ftp://ftp.slackware.com/pub/slackware/slackware-current/slakware/a1/glibcso.tgz
ftp://ftp.slackware.com/pub/slackware/slackware-current/slakware/d1/glibc.tgz
MD5 ПОДПИСИ И CHECK-СУМИ:
-------------------------
Ето MD5-сумите и check-сумите за пакетите:
16-битова "sum" check-сума:
39060 1054 a1/glibcso.tgz
61562 26779 d1/glibc.tgz
128-битово MD5 извлечение от съобщението:
6ea2e3fecf1a1a970f1e37b7be7c12aa
a1/glibcso.tgz
4f1e8ef903f1d0dd675aaf0cc3926177
d1/glibc.tgz
ИНСТРУКЦИИ ЗА ИНСТАЛАЦИЯ:
-------------------------
Препоръчва се двата пакета по-горе да бъдат обновени в
single user режим
(runlevel 1). Приведете системата в runlevel 1:
# telinit 1
След това обновете пакетите:
# upgradepkg <име на пакета>.tgz
След това приведете обратно системата в multiuser режим:
# telinit 3
Запомнете, добра практика е да съхранявате настройващите
файлове преди
обновяване на пакетите.
- Slackware Linux Security Team
http://www.slackware.com
<< Linux + Java в новите коли | Подобрен MP3 формат >>
|