Säkerhetsbulletin från Debian

DSA-446-1 synaesthesia -- osäkra temporära filer

Rapporterat den:
2004-02-21
Berörda paket:
synaesthesia
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 9713.
I Mitres CVE-förteckning: CVE-2004-0160.
Ytterligare information:

Ulf Härnhammar från Debians säkerhetsgranskningsprojekt upptäckte en sårbarhet i synaesthesia, ett program för att visuellt representera ljud. Synaesthesia skrev sin konfigurationsfil medan det fortfarande hade rootbehörighet, vilket gjorde det möjligt för en lokal användare att skapa filer som ägs av root och är skrivbara av användarens primära grupp. Denna sorts sårbarhet kan vanligtvis på olika sätt enkelt utnyttjas för att exekvera godtycklig kod med rootbehörighet.

För den nuvarande stabila utgåvan (Woody) har detta problem rättats i version 2.1-2.1woody1.

Den instabila utgåvan (Sid) påverkas inte av detta problem då synaesthesia inte längre är setuid.

Vi rekommenderar att ni uppgraderar ert synaesthesia-paket.

Rättat i:

Debian GNU/Linux 3.0 (woody)

Källkod:
http://security.debian.org/pool/updates/main/s/synaesthesia/synaesthesia_2.1-2.1woody1.dsc
http://security.debian.org/pool/updates/main/s/synaesthesia/synaesthesia_2.1-2.1woody1.diff.gz
http://security.debian.org/pool/updates/main/s/synaesthesia/synaesthesia_2.1.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/s/synaesthesia/synaesthesia_2.1-2.1woody1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/s/synaesthesia/synaesthesia_2.1-2.1woody1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/s/synaesthesia/synaesthesia_2.1-2.1woody1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/s/synaesthesia/synaesthesia_2.1-2.1woody1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/s/synaesthesia/synaesthesia_2.1-2.1woody1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/synaesthesia/synaesthesia_2.1-2.1woody1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/s/synaesthesia/synaesthesia_2.1-2.1woody1_mips.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/synaesthesia/synaesthesia_2.1-2.1woody1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/s/synaesthesia/synaesthesia_2.1-2.1woody1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/synaesthesia/synaesthesia_2.1-2.1woody1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.