Рекомендация Debian по безопасности

DSA-836-1 cfengine2 -- небезопасные временные файлы

Дата сообщения:
01.10.2005
Затронутые пакеты:
cfengine2
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2005-2960, CVE-2005-3137.
Более подробная информация:

Хавьер Фернандез-Сангуино Пена обнаружил небезопасное использование временных файлов в cfengine2, инструменте для настройки и сопровождения связанных сетью машин, которое может использоваться для выполнению атаки через символьные ссылки для перезаписи произвольных файлов, владельцем которых является пользователь, запустивший cfengine, которым вероятнее всего является суперпользователь.

Предыдущий стабильный выпуск (woody) не подвержен данной проблеме.

В стабильном выпуске (sarge) эти проблемы были исправлены в версии 2.1.14-1sarge1.

В нестабильном выпуске (sid) эти проблемы будут исправлены позже.

Рекомендуется обновить пакет cfengine2.

Исправлено в:

Debian GNU/Linux 3.1 (sarge)

Исходный код:
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1.dsc
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1.diff.gz
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2-doc_2.1.14-1sarge1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.