Debian-Sicherheitsankündigung

apcd -- symlink-Angriff in apcd

Datum des Berichts:
01. Feb 2000
Betroffene Pakete:
apcd
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2000-0107.
Weitere Informationen:
Das in Debian GNU/Linux 2.1 ausgelieferte apcd-Paket ist für eine Symlink-Angriff verwundbar. Falls der apcd-Prozess ein SIGUSR1-Signal bekommt gibt er seinen Status in /tmp/upsstat aus. Allerdings wird diese Datei nicht sicher geöffnet, womit sie ein gutes Ziel für einen Symlink-Angriff darstellt.

Dies wurde in Version 0.6a.nr-4slink1 korrigiert. Wir empfehlen, dass Sie umgehend ein Upgrade Ihres apcd-Paketes durchführen.

Behoben in:
Quellcode:
http://security.debian.org/dists/stable/updates/source/apcd_0.6a.nr-4slink1.diff.gz
http://security.debian.org/dists/stable/updates/source/apcd_0.6a.nr-4slink1.dsc
http://security.debian.org/dists/stable/updates/source/apcd_0.6a.nr.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/binary-alpha/apcd_0.6a.nr-4slink1_alpha.deb
i386:
http://security.debian.org/dists/stable/updates/binary-i386/apcd_0.6a.nr-4slink1_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/binary-m68k/apcd_0.6a.nr-4slink1_m68k.deb
sparc:
http://security.debian.org/dists/stable/updates/binary-sparc/apcd_0.6a.nr-4slink1_sparc.deb