Рекомендация Debian по безопасности

DSA-302-1 fuzz -- присвоение привилегий

Дата сообщения:
07.05.2003
Затронутые пакеты:
fuzz
Уязвим:
Да
Ссылки на базы данных по безопасности:
В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 7521.
В каталоге Mitre CVE: CVE-2003-0261.
Более подробная информация:

Джой Хесс (Joey Hess) обнаружил, что fuzz, инструмент для тестирования программного обеспечения на атаки, создаёт временный файл, не предпринимая надлежащих мер безопасности. Эта ошибка может позволить нападающему присвоить привилегии пользователя, запустившего fuzz, за исключением root (fuzz не позволяет себе быть запущенным от имени пользователя root).

В стабильном дистрибутиве (woody) эта проблема исправлена в версии 0.6-6woody1.

Старый стабильный дистрибутив (potato) не содержит пакета fuzz.

В нестабильном дистрибутиве (sid) эта проблема будет исправлена в ближайшее время.

Мы рекомендуем вам обновить пакет fuzz.

Исправлено в:

Debian GNU/Linux 3.0 (woody)

Исходный код:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1.dsc
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1.diff.gz
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.