Debians sikkerhedsbulletin

DSA-1022-1 storebackup -- flere sårbarheder

Rapporteret den:

4. apr 2006

Berørte pakker:

storebackup

Sårbar:

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 332434.
I Mitres CVE-ordbog: CVE-2005-3146, CVE-2005-3147, CVE-2005-3148.

Yderligere oplysninger:

Flere sårbarheder er opdaget i backup-værktøjet storebackup. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:

CVE-2005-3146
Storebackup oprettede en midlertidig fil på en forudsigelig måde, hvilket kunne udnyttes til at overskrive vilkårlige filer på systemet med et symlink-angreb.
CVE-2005-3147
Backup'ens rodmappe blev ikke oprettet med faste rettigheder, hvilket kunne føre til ukorrekte rettigheder hvis umask'en var for slap.
CVE-2005-3148
Bruger- og grupperettighederne hørende til symlinks blev opsat ukorrekt ved fremstilling eller tilbagelægning af en backup, hvilket kunne medføre lækage af følsomme oplysninger.

Den gamle stabile distribution (woody) indeholder ikke storebackup-pakker.

I den stabile distribution (sarge) er disse problemer rettet i version 1.18.4-2sarge1.

I den ustabile distribution (sid) er disse problemer rettet i version 1.19-2.

Vi anbefaler at du opgraderer din storebackup-pakke.

Rettet i:

Kildekode:: http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1.dsc; http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1.diff.gz; http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4.orig.tar.gz
Arkitekturuafhængig komponent:: http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.