Debian-Sicherheitsankündigung

DSA-302-1 fuzz -- Privilegien-Erweiterung

Datum des Berichts:
07. Mai 2003
Betroffene Pakete:
fuzz
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 7521.
In Mitres CVE-Verzeichnis: CVE-2003-0261.
Weitere Informationen:

Joey Hess hat entdeckt, dass fuzz, ein Software Stress-Test-Tool, eine temporäre Datei ohne die richtigen Sicherheitsmaßnahmen erstellt. Dieser Fehler könnte es einem Angreifer ermöglichen, die Rechte des Anwenders, der fuzz aufruft, zu erlangen. Dies betrifft nicht root, da fuzz es nicht erlaubt, als root ausgeführt zu werden.

Für die stable Distribution (Woody) wurde dieses Problem in Version 0.6-6woody1 behoben.

Die alte stable Distribution (Potato) enthält kein fuzz-Paket.

Für die unstable Distribution (Sid) wird dieses Problem bald behoben werden.

Wir empfehlen Ihnen, Ihr fuzz-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1.dsc
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1.diff.gz
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.