Bulletin d'alerte Debian

DSA-279-1 metrics -- Création non sécurisée de fichier temporaire

Date du rapport :
7 avril 2003
Paquets concernés :
metrics
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 7293.
Dans le dictionnaire CVE du Mitre : CVE-2003-0202.
Plus de précisions :

Paul Szabo et Matt Zimmerman ont découvert deux problèmes similaires dans metrics, un outil pour les logiciels de mesure. Deux scripts dans ce paquet, halstead et gather_stats, ouvrent des fichiers temporaires sans prendre les précautions appropriées de sécurité. halstead est installé comme un programme utilisateur, alors que gather_stats est utilisé seulement dans un script auxiliaire inclus dans le code source. Ces failles de sécurité pouvaient permettre à un attaquant local d'écraser des fichiers de l'utilisateur utilisant les scripts incluant root.

La distribution stable (Woody) n'est pas affectée étant donné qu'elle ne contient plus le paquet metrics.

Pour l'ancienne distribution stable (Potato), ce problème a été corrigé dans la version 1.0-1.1.

La distribution instable (Sid) n'est pas affectée étant donné qu'elle ne contient plus le paquet metrics.

Nous vous recommandons de mettre à jour votre paquet metrics.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1.dsc
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1.diff.gz
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_i386.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_m68k.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.