Säkerhetsbulletin från Debian

DSA-843-1 arc -- osäker temporär fil

Rapporterat den:
2005-10-05
Berörda paket:
arc
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2005-2945, CVE-2005-2992.
Ytterligare information:

Två sårbarheter har upptäckts i arkiveringsprogrammet ARC under Unix. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CAN-2005-2945

    Eric Romang upptäckte att arkiveringsprogrammet ARC under Unix skapar temporära filer med osäkra behörigheter, vilket kunde leda till att en angripare stjäl känslig information.

  • CAN-2005-2992

    Joey Schulze upptäckte att den temporära filen även skapas på ett osäkert sätt, vilket gör den sårbar för ett klassiskt angrepp mot symboliska länkar.

Den gamla stabila utgåvan (Woody) innehåller inte arc-paketet.

För den stabila utgåvan (Sarge) har dessa problem rättats i version 5.21l-1sarge1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 5.21m-1.

Vi rekommenderar att ni uppgraderar ert arc-paket.

Rättat i:

Debian GNU/Linux 3.1 (sarge)

Källkod:
http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1.dsc
http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1.diff.gz
http://security.debian.org/pool/updates/main/a/arc/arc_5.21l.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.