Debians sikkerhedsbulletin

DSA-279-1 metrics -- usikker oprettelse af midlertidig fil

Rapporteret den:
7. apr 2003
Berørte pakker:
metrics
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 7293.
I Mitres CVE-ordbog: CVE-2003-0202.
Yderligere oplysninger:

Paul Szabo og Matt Zimmerman har opdaget to ens problemer i metrics, et værktøj til softwaremetrik. Two skripter i denne pakke, "halstead" og "gather_stats", åbner midlertidige filer uden de nødvendige sikkerhedsforanstaltninger. "halstead" installeres som et brugerprogram, mens "gather_stats" anvendes kun som et hjælpeskript vedlagt kildekoden. Disse sårbarheder kunne give en lokal angriber mulighed for at overskrive filer, ejet af den bruger, som kører skripterne, deriblandt root.

Den stabile distribution (woody) er ikke påvirket, da den ikke længere indeholder en metrics-pakke.

I gamle stabile distribution (potato) er dette problem rettet i version 1.0-1.1.

Den ustabile distribution (sid) er ikke påvirket, da den ikke længere indeholder en metrics-pakke.

Vi anbefaler at du opgraderer din metrics-pakke.

Rettet i:

Debian GNU/Linux 2.2 (potato)

Kildekode:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1.dsc
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1.diff.gz
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_i386.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_m68k.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.