Säkerhetsbulletin från Debian
DSA-787-1 backup-manager -- osäkra behörigheter och temporär fil
- Rapporterat den:
- 2005-08-26
- Berörda paket:
- backup-manager
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 308897, Fel 315582.
I Mitres CVE-förteckning: CVE-2005-1855, CVE-2005-1856. - Ytterligare information:
-
Två fel har upptäckts i backup-manager, ett kommandoradsdrivet verktyg för säkerhetskopiering. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CAN-2005-1855
Jeroen Vermeulen upptäckte att säkerhetskopierade filer skapas med standardbehörigheter som gör dem läsbara för alla, även om de kan innehålla känslig information.
- CAN-2005-1856
Sven Joachim upptäckte att den valfria funktionen i backup-manager för att bränna cd använder ett hårdkodat filnamn i en katalog skrivbar för alla för loggning. Detta kan utnyttjas genom att angripa symboliska länkar.
Den gamla stabila utgåvan (Woody) innehåller inte paketet backup-manager.
För den stabila utgåvan (Sarge) har dessa problem rättats i version 0.5.7-1sarge1.
För den instabila utgåvan (Sid) har dessa problem rättats i version 0.5.8-2.
Vi rekommenderar att ni uppgraderar ert backup-manager-paket.
- CAN-2005-1855
- Rättat i:
-
Debian GNU/Linux 3.1 (sarge)
- Källkod:
- http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7-1sarge1.dsc
- http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7-1sarge1.diff.gz
- http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7.orig.tar.gz
- http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7-1sarge1.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7-1sarge1_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.