Debian セキュリティ勧告

DSA-1395-1 xen-utils -- 安全でない一時ファイルの作成

報告日時:
2007-10-25
影響を受けるパッケージ:
xen-utils
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 447795.
Mitre の CVE 辞書: CVE-2007-3919.
詳細:

Debian Security Audit project の Steve Kemp さんにより、XEN 管理用ツール 集 xen-utils が xenman ツール内で一時ファイルを安全でない方法で用いており、 任意のファイルを切り捨て可能であることが発見されました。

旧安定版 (sarge) にはこのパッケージは収録されていません。

安定版 (stable) ディストリビューション (etch) では、この問題はバージョン 3.0.3-0-4 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題は近く修正 予定です。

直ぐに xen-3.0 パッケージをアップグレードすることを勧めます。

修正:

Debian GNU/Linux 4.0 (etch)

ソース:
http://security.debian.org/pool/updates/main/x/xen-3.0/xen-3.0_3.0.3-0.orig.tar.gz
http://security.debian.org/pool/updates/main/x/xen-3.0/xen-3.0_3.0.3-0-4.dsc
http://security.debian.org/pool/updates/main/x/xen-3.0/xen-3.0_3.0.3-0-4.diff.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/x/xen-3.0/xen-docs-3.0_3.0.3-0-4_all.deb
AMD64:
http://security.debian.org/pool/updates/main/x/xen-3.0/xen-utils-3.0.3-1_3.0.3-0-4_amd64.deb
http://security.debian.org/pool/updates/main/x/xen-3.0/xen-hypervisor-3.0.3-1-amd64_3.0.3-0-4_amd64.deb
http://security.debian.org/pool/updates/main/x/xen-3.0/xen-ioemu-3.0.3-1_3.0.3-0-4_amd64.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/x/xen-3.0/xen-utils-3.0.3-1_3.0.3-0-4_i386.deb
http://security.debian.org/pool/updates/main/x/xen-3.0/xen-hypervisor-3.0.3-1-i386_3.0.3-0-4_i386.deb
http://security.debian.org/pool/updates/main/x/xen-3.0/xen-hypervisor-3.0.3-1-i386-pae_3.0.3-0-4_i386.deb
http://security.debian.org/pool/updates/main/x/xen-3.0/xen-ioemu-3.0.3-1_3.0.3-0-4_i386.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。