Debian-Sicherheitsankündigung

DSA-630-1 lintian -- Unsicheres temporäres Verzeichnis

Datum des Berichts:
10. Jan 2005
Betroffene Pakete:
lintian
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Debian-Fehlerdatenbank: Fehler 286681.
In Mitres CVE-Verzeichnis: CVE-2004-1000.
Weitere Informationen:

Jeroen van Wolffelaar entdeckte ein Problem in lintian, dem Überprüfungsprogramm für Debian-Pakete. Das Programm löscht das Arbeitsverzeichnis selbst dann, wenn es beim Start nicht erstellt wurde. Dadurch kann eine fremde Datei oder ein Verzeichnis entfernt werden, wenn ein böswilliger Benutzer diese mittels Symlink-Angriff eingefügt hat.

Für die Stable-Distribution (Woody) wurde dieses Problem in Version 1.20.17.1 behoben.

Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 1.23.6 behoben.

Wir empfehlen Ihnen, Ihr lintian-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/l/lintian/lintian_1.20.17.1.dsc
http://security.debian.org/pool/updates/main/l/lintian/lintian_1.20.17.1.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/l/lintian/lintian_1.20.17.1_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.