Aviso de seguridad de Debian

DSA-279-1 metrics -- creación insegura de archivo temporal

Fecha del informe:
7 de abr de 2003
Paquetes afectados:
metrics
Vulnerable:
Referencias a bases de datos de seguridad:
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 7293.
En el diccionario CVE de Mitre: CVE-2003-0202.
Información adicional:

Paul Szabo y Matt Zimmerman descubrieron dos problemas similares en metrics, una herramienta para medir el software. Dos scripts de este paquete, «halstead» y «gather_stats», abrían archivos inseguros sin tomar las precauciones de seguridad adecuadas. «halstead» se instala como un programa de usuario, mientras que «gather_stats» sólo se usa como un script auxiliar incluído en el código fuente. Estas vulnerabilidades podían permitir que un atacante local sobreescribiera archivos del usuario que estuviera ejecutando los programas, incluído root.

La distribución estale (woody) no se ve afectada porque no contiene el paquete metrics.

Para la distribución estable anterior (potato), este problema se ha corregido en la versión 1.0-1.1.

La distribución inestable (sid) no se ve afectada porque no contiene el paquete metrics.

Le recomendamos que actualice el paquete metrics.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1.dsc
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1.diff.gz
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_i386.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_m68k.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.