Bulletin d'alerte Debian

DSA-846-1 cpio -- Plusieurs vulnérabilités

Date du rapport:

7 octobre 2005

Paquets concernés:

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans le système de suivi des bogues Debian : Bogue 306693, Bogue 305372.
Dans le dictionnaire CVE du Mitre : CVE-2005-1111, CVE-2005-1229.

Pour plus d'information:

Deux vulnérabilités ont été découvertes dans cpio, un programme pour gérer les archives de fichiers. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :

CAN-2005-1111
Imran Ghory a découvert une situation de concurrence dans le réglage des permissions des fichiers extraits d'archives cpio. Un attaquant local muni de droits d'écriture sur le répertoire cible pouvait exploiter cette vulnérabilité pour modifier les permissions des mêmes fichiers que ceux que l'utilisateur de cpio peut modifier.
CAN-2005-1229
Imran Ghory a découvert que cpio ne vérifiait pas le chemin d'extraction des fichiers même si l'option --no-absolute-filenames était spécifiée. Cela pouvait être utilisé afin d'installer des fichiers dans des répertoires arbitraires où l'utilisateur de cpio pouvait écrire.

Pour l'ancienne distribution stable (Woody, ces problèmes ont été corrigés dans la version 2.4.2-39woody2.

Pour l'actuelle distribution stable (Sarge), ces problèmes ont été corrigés dans la version 2.5-1.3.

Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 2.6-6.

Nous vous recommandons de mettre à jour votre paquet cpio.

Corrigé dans:

Debian GNU/Linux 3.0 (woody)

Source :: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2.dsc; http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2.diff.gz; http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_sparc.deb

Debian GNU/Linux 3.1 (sarge)

Source :: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3.dsc; http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3.diff.gz; http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_sparc.deb

Les hachés MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.