Debians sikkerhedsbulletin

DSA-544-1 webmin -- usikker midlertidig mappe

Rapporteret den:

14. sep 2004

Berørte pakker:

webmin

Sårbar:

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2004-0559.

Yderligere oplysninger:

Ludwig Nussel har opdaget et problem i webmin, et webbaseret administrativ værktøj. En midlertidig mappe blev anvendt, men uden at kontrollere den tidligere ejer. Denne kunne gøre det muligt for en angriber at oprette mappen og lægge farlige symbolske lænker i den.

I den stabile distribution (woody) er dette problem rettet i version 0.94-7woody3.

I den ustabile distribution (sid) er dette problem rettet i version 1.160-1 af webmin og version 1.090-1 af usermin.

Vi anbefaler at du opgraderer dine webmin-pakker.

Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:: http://security.debian.org/pool/updates/main/w/webmin/webmin_0.94-7woody3.dsc; http://security.debian.org/pool/updates/main/w/webmin/webmin_0.94-7woody3.diff.gz; http://security.debian.org/pool/updates/main/w/webmin/webmin_0.94.orig.tar.gz
Arkitekturuafhængig komponent:: http://security.debian.org/pool/updates/main/w/webmin/webmin-apache_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-bind8_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-burner_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-cluster-software_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-cluster-useradmin_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-core_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-cpan_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-dhcpd_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-exports_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-fetchmail_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-heartbeat_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-inetd_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-jabber_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-lpadmin_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-mon_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-mysql_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-nis_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-postfix_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-postgresql_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-ppp_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-qmailadmin_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-quota_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-raid_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-samba_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-sendmail_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-software_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-squid_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-sshd_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-ssl_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-status_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-stunnel_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-wuftpd_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-xinetd_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin_0.94-7woody3_all.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/w/webmin/webmin-grub_0.94-7woody3_i386.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.