Aviso de seguridad de Debian

DSA-1022-1 storebackup -- varias vulnerabilidades

Fecha del informe:

4 de abr de 2006

Paquetes afectados:

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: error 332434.
En el diccionario CVE de Mitre: CVE-2005-3146, CVE-2005-3147, CVE-2005-3148.

Información adicional:

Se han descubierto varias vulnerabilidades en la utilidad de copia de seguridad storebackup. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:

CVE-2005-3146
Storebackup creaba un archivo temporal predecible, del que se podía sacar provecho para sobreescribir archivos arbitrarios en el sistema con un ataque de enlaces simbólicos.
CVE-2005-3147
El directorio raíz de la copia de seguridad se creaba con permisos fijos, lo que podía conducir a permisos no adecuados si la máscara era demasiado permisiva.
CVE-2005-3148
Los derechos de usuario y de grupo de los enlaces simbólicos se definían de modo incorrecto al restaurar una copia de seguridad, lo que podía debilitar datos sensibles.

La distribución estable anterior (woody) no contiene los paquetes de storebackup.

Para la distribución estable (sarge), estos problemas se han corregido en la versión 1.18.4-2sarge1.

Para la distribución inestable (sid), estos problemas se han corregido en la versión 1.19-2.

Le recomendamos que actualice el paquete storebackup.

Arreglado en:

Debian GNU/Linux 3.1 (sarge)

Fuentes:: http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1.dsc; http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1.diff.gz; http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4.orig.tar.gz
Componentes independientes de la arquitectura:: http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1_all.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.