Debian-Sicherheitsankündigung

DSA-279-1 metrics -- Unsichere Erstellung temporärer Dateien

Datum des Berichts:
07. Apr 2003
Betroffene Pakete:
metrics
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 7293.
In Mitres CVE-Verzeichnis: CVE-2003-0202.
Weitere Informationen:

Paul Szabo und Matt Zimmerman haben zwei ähnliche Probleme in metrics entdeckt, einem Werkzeug für Software-Metrik. Zwei Skripte in diesem Paket, "halstead" und "gather_stats", öffnen temporäre Dateien, ohne die angemessenen Sicherheitsvorkehrungen zu treffen. "halstead" wird als Benutzerprogramm installiert, während "gather_stats" lediglich in einem Helferskript benutzt wird, das im Sourcecode enthalten ist. Diese Verwundbarkeiten können es einem lokalen Angreifer erlauben, Dateien zu überschreiben, die dem Benutzer gehören, der die Skripte ausführt, einschließlich root.

Die stable Distribution (Woody) ist nicht betroffen, weil sie keine metrics-Pakete mehr enthält.

Für die alte stable Distribution (Potato) wurde dieses Problem in Version 1.0-1.1 behoben.

Die unstable Distribution (Sid) ist nicht betroffen, weil sie keine metrics-Pakete mehr enthält.

Wir empfehlen Ihnen, Ihr metrics-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1.dsc
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1.diff.gz
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_i386.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_m68k.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.