Debians sikkerhedsbulletin

DSA-302-1 fuzz -- rettighedsforøgelse

Rapporteret den:
7. maj 2003
Berørte pakker:
fuzz
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 7521.
I Mitres CVE-ordbog: CVE-2003-0261.
Yderligere oplysninger:

Joey Hess har opdaget at fuzz, et værktøj til strestestning af programmel, opretter midlertidige filer uden at fortage passende sikkerhedsforanstaltninger. Denne fejl kunne give en angriber mulighed for at få rettighederne hørende til den bruger, som udfører fuzz, bortset fra root (fuzz tillader ikke sig selv at blive udført som root).

I den stabile distribution (woody) er dette problem rettet i version 0.6-6woody1.

Den gamle stabile distribution (potato) indeholder ikke en fuzz-pakke.

I den ustabile distribution (sid) vil dette blive snart blive rettet.

Vi anbefaler at du opgraderer din fuzz-pakke.

Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1.dsc
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1.diff.gz
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.