COMMAND
GnoRPM
SYSTEMS AFFECTED
GnoRPM
PROBLEM
Alan Cox found following. While fixing other problems with the
gnorpm package a locally exploitable security hole was found
where a normal user could trick root running GnoRPM into writing
to arbitary files due to a bug in the gnorpm tmp file handling.
SOLUTION
A new release of GnoRPM (0.95.1) is now available. This fixes
significant numbers of gnorpm bugs including the security hole.
Administrators who use this program on multi-user machines may
well want to update it, and anyone who uses it regularly will
probably appreciate the fact it now works rather better than
before. All versions of GnoRPM before 0.95 are believe
vulnerable.
Download sites:
ftp.linux.org.uk:/pub/linux/alan/GNORPM/gnorpm-0.95.1.tar.gz
ftp.gnome.org:/pub/GNOME/stable/sources/gnorpm/gnorpm-0.95.1.tar.gz
For Conectiva Linux:
ftp://atualizacoes.conectiva.com.br/4.0/i386/gnorpm-0.95.1-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/libxml-1.8.9-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/libxml-devel-1.8.9-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/rpm-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/rpm-devel-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/rpm-python-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/SRPMS/gnorpm-0.95.1-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.0/SRPMS/libxml-1.8.9-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.0/SRPMS/rpm-3.0.4-9cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/gnorpm-0.95.1-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/libxml-1.8.9-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/libxml-devel-1.8.9-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/rpm-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/rpm-devel-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/rpm-python-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/SRPMS/gnorpm-0.95.1-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/SRPMS/libxml-1.8.9-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/SRPMS/rpm-3.0.4-9cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/gnorpm-0.95.1-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/rpm-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/rpm-devel-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/rpm-python-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/SRPMS/gnorpm-0.95.1-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.1/SRPMS/rpm-3.0.4-9cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/gnorpm-0.95.1-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/rpm-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/rpm-devel-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/rpm-python-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/SRPMS/gnorpm-0.95.1-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.2/SRPMS/rpm-3.0.4-9cl.src.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/gnorpm-0.95.1-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/rpm-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/rpm-devel-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/rpm-python-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/SRPMS/gnorpm-0.95.1-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/5.0/SRPMS/rpm-3.0.4-9cl.src.rpm
ftp://atualizacoes.conectiva.com.br/5.1/SRPMS/gnorpm-0.95.1-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.1/SRPMS/gnorpm-0.95.1-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/gnorpm-0.95.1-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/rpm-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/rpm-devel-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/i386/rpm-python-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/SRPMS/gnorpm-0.95.1-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/ecommerce/SRPMS/rpm-3.0.4-9cl.src.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/gnorpm-0.95.1-1cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/rpm-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/rpm-devel-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/i386/rpm-python-3.0.4-9cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/SRPMS/gnorpm-0.95.1-1cl.src.rpm
ftp://atualizacoes.conectiva.com.br/ferramentas/graficas/SRPMS/rpm-3.0.4-9cl.src.rpm
Caldera OpenLinux and Debian are GNU Linux vendors not shipping
Gnorpm.
For Linux Mandrake:
Linux-Mandrake 6.1: 6.1/RPMS/gnorpm-0.9-5mdk.i586.rpm
6.1/SRPMS/gnorpm-0.9-5mdk.src.rpm
Linux-Mandrake 7.0: 7.0/RPMS/gnorpm-0.9-5mdk.i586.rpm
7.0/SRPMS/gnorpm-0.9-5mdk.src.rpm
Update for Immunix OS 6.2 (StackGuarded versions of the RedHat
packages) can be found at:
http://www.immunix.org:8080/ImmunixOS/6.2/updates/RPMS/gnorpm-0.95.1-2.62_StackGuard.i386.rpm
http://www.immunix.org:8080/ImmunixOS/6.2/updates/SRPMS/gnorpm-0.95.1-2.62_StackGuard.src.rpm
For RedHat:
ftp://updates.redhat.com/6.2/alpha/gnorpm-0.95.1-5.6x.alpha.rpm
ftp://updates.redhat.com/6.2/sparc/gnorpm-0.95.1-5.6x.sparc.rpm
ftp://updates.redhat.com/6.2/i386/gnorpm-0.95.1-5.6x.i386.rpm
ftp://updates.redhat.com/6.2/SRPMS/gnorpm-0.95.1-5.6x.src.rpm
ftp://updates.redhat.com/7.0/i386/gnorpm-0.95.1-5.i386.rpm
ftp://updates.redhat.com/7.0/SRPMS/gnorpm-0.95.1-5.src.rpm
For SuSE Linux:
SuSE-7.0: ftp://ftp.suse.com/pub/suse/i386/update/7.0/gnm3/gnorpm-0.95-3.i386.rpm
ftp://ftp.suse.com/pub/suse/i386/update/7.0/zq1/gnorpm-0.95-3.src.rpm
ftp://ftp.suse.com/pub/suse/sparc/update/7.0/gnm3/gnorpm-0.9-159.sparc.rpm
ftp://ftp.suse.com/pub/suse/sparc/update/7.0/zq1/gnorpm-0.9-159.src.rpm
SuSE-6.4: ftp://ftp.suse.com/pub/suse/i386/update/6.4/gnm3/gnorpm-0.95-3.i386.rpm
ftp://ftp.suse.com/pub/suse/i386/update/6.4/zq1/gnorpm-0.95-3.src.rpm
ftp://ftp.suse.com/pub/suse/axp/update/6.4/gnm3/gnorpm-0.95-4.alpha.rpm
ftp://ftp.suse.com/pub/suse/axp/update/6.4/zq1/gnorpm-0.95-4.src.rpm
ftp://ftp.suse.com/pub/suse/ppc/update/6.4/gnm3/gnorpm-0.95-3.ppc.rpm
ftp://ftp.suse.com/pub/suse/ppc/update/6.4/zq1/gnorpm-0.95-3.src.rpm