GLSA 200707-10: Festival: Privilege elevation
| Опасность: | высокая |
| Заголовок: | Festival: Privilege elevation |
| Дата: | 25.07.2007 |
| Ошибки: | |
| ID: | 200707-10 |
Сводка
A vulnerability has been discovered in Festival, allowing for a local privilege escalation.Назначение
Festival is a text-to-speech accessibility program.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| app-accessibility/festival | < 1.95_beta-r4 | >= 1.95_beta-r4 | All supported architectures |
Описание
Konstantine Shirow reported a vulnerability in default Gentoo configurations of Festival. The daemon is configured to run with root privileges and to listen on localhost, without requiring a password.
Воздействие
A local attacker could gain root privileges by connecting to the daemon and execute arbitrary commands.
Обход
Set a password in the configuration file /etc/festival/server.scm by adding the line: (set! server_passwd password)
Решение
All Festival users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=app-accessibility/festival-1.95_beta-r4"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.