Рекомендация Debian по безопасности

DSA-279-1 metrics -- создание небезопасных временных файлов

Дата сообщения:
07.04.2003
Затронутые пакеты:
metrics
Уязвим:
Да
Ссылки на базы данных по безопасности:
В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 7293.
В каталоге Mitre CVE: CVE-2003-0202.
Более подробная информация:

Поль Забо (Paul Szabo) и Мэтт Циммерман (Matt Zimmerman) обнаружили две схожие проблемы в metrics, инструменте анализа характеристик программного обеспечения. Два скрипта, входящие в пакет, halstead и gather_stats, создают временные файлы, не принимая надлежащих мер по обеспечению безопасности. halstead устанавливается как пользовательская программа, в то время как gather_stats используется только как вспомогательный скрипт, включённый в исходный код. Эти уязвимости могут позволить локальному нападающему переписать файлы, принадлежащие пользователю, от имени которого выполняются скрипты, включая пользователя root.

Стабильный дистрибутиве (woody) не затронут, поскольку он уже не содержит пакета metrics.

В старом стабильном дистрибутиве (potato) эта проблема исправлена в версии 1.0-1.1.

Нестабильный дистрибутив (sid) не затронут, поскольку он уже не содержит пакета metrics.

Мы рекомендуем вам обновить пакет metrics.

Исправлено в:

Debian GNU/Linux 2.2 (potato)

Исходный код:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1.dsc
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1.diff.gz
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_i386.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_m68k.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.