Debians sikkerhedsbulletin

DSA-1395-1 xen-utils -- usikre midlertidige filer

Rapporteret den:
25. okt 2007
Berørte pakker:
xen-utils
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 447795.
I Mitres CVE-ordbog: CVE-2007-3919.
Yderligere oplysninger:

Steve Kemp fra Debian Security Audit-projektet opdagede at xen-utils, en samling af administrative værktøjer til XEN, anvendte midlertidige filer på en usikker måde i xenmon-værktøjet, hvilket gjorde det muligt for lokale brugere at trunkere vilkårlige filer.

I den gamle stabile distribution (sarge) findes denne pakke ikke.

I den stabile distribution (etch) er dette problem rettet i version 3.0.3-0-4.

I den ustabile distribution (sid) vil dette problem snart blive rettet.

Vi anbefaler at du opgraderer din xen-3.0-pakke.

Rettet i:

Debian GNU/Linux 4.0 (etch)

Kildekode:
http://security.debian.org/pool/updates/main/x/xen-3.0/xen-3.0_3.0.3-0.orig.tar.gz
http://security.debian.org/pool/updates/main/x/xen-3.0/xen-3.0_3.0.3-0-4.dsc
http://security.debian.org/pool/updates/main/x/xen-3.0/xen-3.0_3.0.3-0-4.diff.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/x/xen-3.0/xen-docs-3.0_3.0.3-0-4_all.deb
AMD64:
http://security.debian.org/pool/updates/main/x/xen-3.0/xen-utils-3.0.3-1_3.0.3-0-4_amd64.deb
http://security.debian.org/pool/updates/main/x/xen-3.0/xen-hypervisor-3.0.3-1-amd64_3.0.3-0-4_amd64.deb
http://security.debian.org/pool/updates/main/x/xen-3.0/xen-ioemu-3.0.3-1_3.0.3-0-4_amd64.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/x/xen-3.0/xen-utils-3.0.3-1_3.0.3-0-4_i386.deb
http://security.debian.org/pool/updates/main/x/xen-3.0/xen-hypervisor-3.0.3-1-i386_3.0.3-0-4_i386.deb
http://security.debian.org/pool/updates/main/x/xen-3.0/xen-hypervisor-3.0.3-1-i386-pae_3.0.3-0-4_i386.deb
http://security.debian.org/pool/updates/main/x/xen-3.0/xen-ioemu-3.0.3-1_3.0.3-0-4_i386.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.