Рекомендация Debian по безопасности

DSA-460-1 sysstat -- небезопасный временный файл

Дата сообщения:

10.03.2004

Затронутые пакеты:

sysstat

Уязвим:

Да

Ссылки на базы данных по безопасности:

В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 9844.
В каталоге Mitre CVE: CVE-2004-0108.

Более подробная информация:

Алан Кокс (Alan Cox) обнаружил, что утилита isag (создающая графическое представление данных, собранных инструментами sysstat), создаёт временный файл, не предпринимая надлежащих мер предосторожности. Эта уязвимость может позволить локальному нападающему переписать файлы с привилегиями пользователя, запустишего isag.

В текущем стабильном дистрибутиве (woody) эта проблема исправлена в версии 5.0.1-1.

В нестабильном дистрибутиве (sid) эта проблема будет исправлена в ближайшее время.

Мы рекомендуем вам обновить пакет sysstat.

Исправлено в:

Debian GNU/Linux 3.0 (woody)

Исходный код:: http://security.debian.org/pool/updates/main/s/sysstat/sysstat_4.0.4-1woody1.dsc; http://security.debian.org/pool/updates/main/s/sysstat/sysstat_4.0.4-1woody1.diff.gz; http://security.debian.org/pool/updates/main/s/sysstat/sysstat_4.0.4.orig.tar.gz
Независимые от архитектуры компоненты:: http://security.debian.org/pool/updates/main/s/sysstat/isag_4.0.4-1woody1_all.deb
Alpha:: http://security.debian.org/pool/updates/main/s/sysstat/sysstat_4.0.4-1woody1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/s/sysstat/sysstat_4.0.4-1woody1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/s/sysstat/sysstat_4.0.4-1woody1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/s/sysstat/sysstat_4.0.4-1woody1_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/s/sysstat/sysstat_4.0.4-1woody1_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/s/sysstat/sysstat_4.0.4-1woody1_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/s/sysstat/sysstat_4.0.4-1woody1_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/s/sysstat/sysstat_4.0.4-1woody1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/s/sysstat/sysstat_4.0.4-1woody1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/s/sysstat/sysstat_4.0.4-1woody1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/s/sysstat/sysstat_4.0.4-1woody1_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.

Контрольные суммы MD5 этих файлов доступны в пересмотренном сообщении.