Debian-Sicherheitsankündigung

DSA-857-1 graphviz -- Unsichere temporäre Datei

Datum des Berichts:
10. Okt 2005
Betroffene Pakete:
graphviz
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 15050.
In Mitres CVE-Verzeichnis: CVE-2005-4803.
Weitere Informationen:

Javier Fernández-Sanguino Peña entdeckte die Erzeugung einer unsicheren temporären Datei in graphviz, einem reichhaltigen Satz von Werkzeugen zur Erstellung von Graphen, was von einem lokalen Angreifer zum Überschreiben beliebiger Dateien ausgenutzt werden kann.

In der alten Stable-Distribution (Woody) besteht dieses Problem wahrscheinlich weiterhin, aber das Paket ist nicht-frei (»non-free«).

Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 2.2.1-1sarge1 behoben.

Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 2.2.1-1sarge1 behoben.

Wir empfehlen Ihnen, Ihr graphviz-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (sarge)

Quellcode:
http://security.debian.org/pool/updates/main/g/graphviz/graphviz_2.2.1-1sarge1.dsc
http://security.debian.org/pool/updates/main/g/graphviz/graphviz_2.2.1-1sarge1.diff.gz
http://security.debian.org/pool/updates/main/g/graphviz/graphviz_2.2.1.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/g/graphviz/graphviz_2.2.1-1sarge1_alpha.deb
http://security.debian.org/pool/updates/main/g/graphviz/graphviz-dev_2.2.1-1sarge1_alpha.deb
http://security.debian.org/pool/updates/main/g/graphviz/graphviz-doc_2.2.1-1sarge1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/g/graphviz/graphviz_2.2.1-1sarge1_amd64.deb
http://security.debian.org/pool/updates/main/g/graphviz/graphviz-dev_2.2.1-1sarge1_amd64.deb
http://security.debian.org/pool/updates/main/g/graphviz/graphviz-doc_2.2.1-1sarge1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/g/graphviz/graphviz_2.2.1-1sarge1_arm.deb
http://security.debian.org/pool/updates/main/g/graphviz/graphviz-dev_2.2.1-1sarge1_arm.deb
http://security.debian.org/pool/updates/main/g/graphviz/graphviz-doc_2.2.1-1sarge1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/g/graphviz/graphviz_2.2.1-1sarge1_i386.deb
http://security.debian.org/pool/updates/main/g/graphviz/graphviz-dev_2.2.1-1sarge1_i386.deb
http://security.debian.org/pool/updates/main/g/graphviz/graphviz-doc_2.2.1-1sarge1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/g/graphviz/graphviz_2.2.1-1sarge1_ia64.deb
http://security.debian.org/pool/updates/main/g/graphviz/graphviz-dev_2.2.1-1sarge1_ia64.deb
http://security.debian.org/pool/updates/main/g/graphviz/graphviz-doc_2.2.1-1sarge1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/g/graphviz/graphviz_2.2.1-1sarge1_hppa.deb
http://security.debian.org/pool/updates/main/g/graphviz/graphviz-dev_2.2.1-1sarge1_hppa.deb
http://security.debian.org/pool/updates/main/g/graphviz/graphviz-doc_2.2.1-1sarge1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/g/graphviz/graphviz_2.2.1-1sarge1_m68k.deb
http://security.debian.org/pool/updates/main/g/graphviz/graphviz-dev_2.2.1-1sarge1_m68k.deb
http://security.debian.org/pool/updates/main/g/graphviz/graphviz-doc_2.2.1-1sarge1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/g/graphviz/graphviz_2.2.1-1sarge1_mips.deb
http://security.debian.org/pool/updates/main/g/graphviz/graphviz-dev_2.2.1-1sarge1_mips.deb
http://security.debian.org/pool/updates/main/g/graphviz/graphviz-doc_2.2.1-1sarge1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/g/graphviz/graphviz_2.2.1-1sarge1_mipsel.deb
http://security.debian.org/pool/updates/main/g/graphviz/graphviz-dev_2.2.1-1sarge1_mipsel.deb
http://security.debian.org/pool/updates/main/g/graphviz/graphviz-doc_2.2.1-1sarge1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/g/graphviz/graphviz_2.2.1-1sarge1_powerpc.deb
http://security.debian.org/pool/updates/main/g/graphviz/graphviz-dev_2.2.1-1sarge1_powerpc.deb
http://security.debian.org/pool/updates/main/g/graphviz/graphviz-doc_2.2.1-1sarge1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/g/graphviz/graphviz_2.2.1-1sarge1_s390.deb
http://security.debian.org/pool/updates/main/g/graphviz/graphviz-dev_2.2.1-1sarge1_s390.deb
http://security.debian.org/pool/updates/main/g/graphviz/graphviz-doc_2.2.1-1sarge1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/g/graphviz/graphviz_2.2.1-1sarge1_sparc.deb
http://security.debian.org/pool/updates/main/g/graphviz/graphviz-dev_2.2.1-1sarge1_sparc.deb
http://security.debian.org/pool/updates/main/g/graphviz/graphviz-doc_2.2.1-1sarge1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.