Säkerhetsbulletin från Debian

DSA-787-1 backup-manager -- osäkra behörigheter och temporär fil

Rapporterat den:
2005-08-26
Berörda paket:
backup-manager
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 308897, Fel 315582.
I Mitres CVE-förteckning: CVE-2005-1855, CVE-2005-1856.
Ytterligare information:

Två fel har upptäckts i backup-manager, ett kommandoradsdrivet verktyg för säkerhetskopiering. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CAN-2005-1855

    Jeroen Vermeulen upptäckte att säkerhetskopierade filer skapas med standardbehörigheter som gör dem läsbara för alla, även om de kan innehålla känslig information.

  • CAN-2005-1856

    Sven Joachim upptäckte att den valfria funktionen i backup-manager för att bränna cd använder ett hårdkodat filnamn i en katalog skrivbar för alla för loggning. Detta kan utnyttjas genom att angripa symboliska länkar.

Den gamla stabila utgåvan (Woody) innehåller inte paketet backup-manager.

För den stabila utgåvan (Sarge) har dessa problem rättats i version 0.5.7-1sarge1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 0.5.8-2.

Vi rekommenderar att ni uppgraderar ert backup-manager-paket.

Rättat i:

Debian GNU/Linux 3.1 (sarge)

Källkod:
http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7-1sarge1.dsc
http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7-1sarge1.diff.gz
http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7-1sarge1_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.