Debian-Sicherheitsankündigung
DSA-285-1 lprng -- Unsichere Temporärdatei
- Datum des Berichts:
- 14. Apr 2003
- Betroffene Pakete:
- lprng
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 7334.
In Mitres CVE-Verzeichnis: CVE-2003-0136. - Weitere Informationen:
-
Karol Lewandowski hat herausgefunden, dass psbanner, ein Druckerfilter, der PostScript Format Banner erstellt und Teil von LPRng ist, eine temporäre Datei, die zur Fehlersuche dient, unsicher anlegt, wenn es als Filter konfiguriert ist. Das Programm überprüft nicht, ob diese Datei bereits existiert oder an eine andere Stelle verlinkt ist, psbanner schreibt seine Umgebung und die beim Aufruf übergebenen Argumente bedingungslos in die Datei mit der Benutzer-ID daemon.
Für die stable Distribution (Woody) wurde dieses Problem in Version 3.8.10-1.2 behoben.
Die alte stable Distribution (Potato) ist von diesem Problem nicht betroffen.
Für die unstable Distribution (Sid) wurde dieses Problem in Version 3.8.20-4 behoben.
Wir empfehlen Ihnen, Ihr lprng-Paket zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/l/lprng/lprng_3.8.10-1.2.dsc
- http://security.debian.org/pool/updates/main/l/lprng/lprng_3.8.10-1.2.diff.gz
- http://security.debian.org/pool/updates/main/l/lprng/lprng_3.8.10.orig.tar.gz
- http://security.debian.org/pool/updates/main/l/lprng/lprng_3.8.10-1.2.diff.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/l/lprng/lprng-doc_3.8.10-1.2_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/l/lprng/lprng_3.8.10-1.2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/l/lprng/lprng_3.8.10-1.2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/l/lprng/lprng_3.8.10-1.2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/l/lprng/lprng_3.8.10-1.2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/l/lprng/lprng_3.8.10-1.2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/l/lprng/lprng_3.8.10-1.2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/l/lprng/lprng_3.8.10-1.2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/l/lprng/lprng_3.8.10-1.2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/l/lprng/lprng_3.8.10-1.2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/l/lprng/lprng_3.8.10-1.2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/l/lprng/lprng_3.8.10-1.2_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.