Säkerhetsbulletin från Debian

DSA-137-1 mm -- osäkra temporära filer

Rapporterat den:
2002-07-30
Berörda paket:
mm
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 5352.
I Mitres CVE-förteckning: CVE-2002-0658.
Ytterligare information:

Marcus Meissner och Sebastian Krahmer upptäckte och rättade en filrelaterad sårbarhet i mm, ett bibliotek för delat minne. Problemet kan utnyttjas för att få rootbehörighet på en maskin som kör Apache som är länkat till detta bibliotek, om användar-id ”www-data” redan är inställt på att ha skaltillgång (vilket lätt kan utlösas via PHP).

Detta problem har rättats i uppströmsversion 1.2.0 av mm, vilken kommer sändas in till den instabila Debianutgåvan när denna bulletin sänds ut. Rättade paket för Potato (Debian 2.2) och Woody (Debian 3.0) är inlänkade nedan.

Vi rekommenderar att ni uppgraderar era libmm-paket omedelbart och startar om din Apacheserver.

Rättat i:

Debian GNU/Linux 2.2 (potato)

Källkod:
http://security.debian.org/pool/updates/main/m/mm/mm_1.0.11-1.2.dsc
http://security.debian.org/pool/updates/main/m/mm/mm_1.0.11.orig.tar.gz
http://security.debian.org/pool/updates/main/m/mm/mm_1.0.11-1.2.diff.gz
Alpha:
http://security.debian.org/pool/updates/main/m/mm/libmm10_1.0.11-1.2_alpha.deb
http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/m/mm/libmm10_1.0.11-1.2_arm.deb
http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_arm.deb
Intel ia32:
http://security.debian.org/pool/updates/main/m/mm/libmm10_1.0.11-1.2_i386.deb
http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_i386.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/mm/libmm10_1.0.11-1.2_m68k.deb
http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_m68k.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/mm/libmm10_1.0.11-1.2_powerpc.deb
http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/mm/libmm10_1.0.11-1.2_sparc.deb
http://security.debian.org/pool/updates/main/m/mm/libmm10-dev_1.0.11-1.2_sparc.deb

Debian GNU/Linux 3.0 (woody)

Källkod:
http://security.debian.org/pool/updates/main/m/mm/mm_1.1.3-6.1.dsc
http://security.debian.org/pool/updates/main/m/mm/mm_1.1.3.orig.tar.gz
http://security.debian.org/pool/updates/main/m/mm/mm_1.1.3-6.1.diff.gz
Alpha:
http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_alpha.deb
http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_arm.deb
http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_arm.deb
Intel ia32:
http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_i386.deb
http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_i386.deb
Intel ia64:
http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_ia64.deb
http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_ia64.deb
HP Precision:
http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_hppa.deb
http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_m68k.deb
http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_mips.deb
http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_mipsel.deb
http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_powerpc.deb
http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_powerpc.deb
IBM S/390 architecture:
http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_s390.deb
http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/mm/libmm11_1.1.3-6.1_sparc.deb
http://security.debian.org/pool/updates/main/m/mm/libmm11-dev_1.1.3-6.1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.