Csomag: xaos
Sebezhetőség: helytelen setuid-root futtatás
Probléma típusa: helyi
Debian specifikus: nemA xaos (fraktálmegjelenítő program) egyes architektúrákon setuid-root bittel került telepítésre: az svgalib használatához ugyanis közvetlen hozzáférésre van szükség a videóhardverhez.
Az új csomagokban a binárisról lekerült a setuid bit. Azon felhasználókat akiknek az svgalib funkcionalitásaira van szükségük, soroljuk egy csoportba, és ez a csoport kapjon privilégiumokat.
A hiba a 3.0-18 (potato) verziót az i386 és alpha architektúrákon, a 3.0-23 (woody) verziót csak az i386-os architektúrán érinti.
A stabil terjesztésben (woody) a hibát javítja a 3.0-23woody1 verzió.
A régi stabil terjesztésben (potato) a hibát javítja a 3.0-18potato1 verzió.
Az instabil terjesztés (sid) ezt a hibát a 3.1r-4 verziójú csomagban javítja.
Javasoljuk a xaos csomag frissítését.
Matt Zimmermann levele a debian-security-announce listán.
A frissítésröl szóló FAQ-nk.