Säkerhetsbulletin från Debian

DSA-279-1 metrics -- osäker skapande av temporär fil

Rapporterat den:
2003-04-07
Berörda paket:
metrics
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 7293.
I Mitres CVE-förteckning: CVE-2003-0202.
Ytterligare information:

Paul Szabo och Matt Zimmerman upptäckte två likartade problem i metrics, ett verktyg för att beräkna mätvärden för programvara. Två skript i detta paket, ”halstead” och ”gather_stats” öppnar temporära filer utan att vidta lämpliga försiktighetsåtgärder. ”halstead” installerar som ett användarprogram medan ”gather_stats” enbart är tillgängligt som ett tilläggsskript i källkoden. Dessa sårbarheter kunde göra det möjligt för en lokal angripare att skriva över filer som ägs av användaren som kör skriptet, inklusive root.

Den stabila utgåvan (Woody) påverkas inte eftersom den inte längre innehåller paketet metrics.

För den gamla stabila utgåvan (Potato) har detta problem rättats i version 1.0-1.1.

Den instabila utgåvan (Sid) påverkas inte eftersom den inte längre innehåller paketet metrics.

Vi rekommenderar att ni uppgraderar ert metrics-paket.

Rättat i:

Debian GNU/Linux 2.2 (potato)

Källkod:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1.dsc
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1.diff.gz
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_i386.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_m68k.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.