Säkerhetsbulletin från Debian

DSA-302-1 fuzz -- utökning av privilegier

Rapporterat den:

2003-05-07

Berörda paket:

fuzz

Sårbara:

Referenser i säkerhetsdatabaser:

I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 7521.
I Mitres CVE-förteckning: CVE-2003-0261.

Ytterligare information:

Joey Hess upptäckte att fuzz, ett programvaruverktyg för stresstestning, skapar en temporär fil utan att ta behövliga säkerhetsmässiga försiktighetsåtgärder. Detta fel kunde låta en angripare uppnå de privilegier användaren som kör fuzz har, förutom root (fuzz låter sig inte köras som root).

För den stabila utgåvan (Woody) har detta problem rättats i version 0.6-6woody1.

Den gamla stabila utgåvan (Potato) innehåller inte fuzz-paket.

För den instabila utgåvan (Sid) kommer detta problem rättas inom kort.

Vi rekommenderar att ni uppgraderar ert fuzz-paket.

Rättat i:

Debian GNU/Linux 3.0 (woody)

Källkod:: http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1.dsc; http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1.diff.gz; http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.