Bulletin d'alerte Debian

DSA-787-1 backup-manager -- Permissions et fichier temporaire non sécurisés

Date du rapport :
26 août 2005
Paquets concernés :
backup-manager
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 308897, Bogue 315582.
Dans le dictionnaire CVE du Mitre : CVE-2005-1855, CVE-2005-1856.
Plus de précisions :

Deux bogues ont été découverts dans backup-manager, un utilitaire de sauvegarde en ligne de commande. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :

  • CAN-2005-1855

    Jeroen Vermeulen a découvert que les fichiers de sauvegarde étaient créés avec les permissions par défaut, ce qui les rendait lisibles par tous alors qu'ils peuvent contenir des informations sensibles.

  • CAN-2005-1856

    Sven Joachim a découvert que la fonctionnalité optionnelle de gravure de CD de backup-manager utilisait un nom de fichier « codé en dur » pour la journalisation, dans un répertoire où tout le monde peut écrire. Ce fichier pouvait être sujet d'attaques par lien symbolique.

L'ancienne distribution stable (Woody) ne contient pas le paquet backup-manager.

Pour l'actuelle distribution stable (Sarge), ces problèmes ont été corrigés dans la version 0.5.7-1sarge1.

Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 0.5.8-2.

Nous vous recommandons de mettre à jour votre paquet backup-manager.

Corrigé dans :

Debian GNU/Linux 3.1 (sarge)

Source :
http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7-1sarge1.dsc
http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7-1sarge1.diff.gz
http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7-1sarge1_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.