Debians sikkerhedsbulletin
DSA-1022-1 storebackup -- flere sårbarheder
- Rapporteret den:
- 4. apr 2006
- Berørte pakker:
- storebackup
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 332434.
I Mitres CVE-ordbog: CVE-2005-3146, CVE-2005-3147, CVE-2005-3148. - Yderligere oplysninger:
-
Flere sårbarheder er opdaget i backup-værktøjet storebackup. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:
- CVE-2005-3146
Storebackup oprettede en midlertidig fil på en forudsigelig måde, hvilket kunne udnyttes til at overskrive vilkårlige filer på systemet med et symlink-angreb.
- CVE-2005-3147
Backup'ens rodmappe blev ikke oprettet med faste rettigheder, hvilket kunne føre til ukorrekte rettigheder hvis umask'en var for slap.
- CVE-2005-3148
Bruger- og grupperettighederne hørende til symlinks blev opsat ukorrekt ved fremstilling eller tilbagelægning af en backup, hvilket kunne medføre lækage af følsomme oplysninger.
Den gamle stabile distribution (woody) indeholder ikke storebackup-pakker.
I den stabile distribution (sarge) er disse problemer rettet i version 1.18.4-2sarge1.
I den ustabile distribution (sid) er disse problemer rettet i version 1.19-2.
Vi anbefaler at du opgraderer din storebackup-pakke.
- CVE-2005-3146
- Rettet i:
-
Debian GNU/Linux 3.1 (sarge)
- Kildekode:
- http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1.dsc
- http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1.diff.gz
- http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.