Debians sikkerhedsbulletin
DSA-283-1 xfsdump -- usikker oprettelse af fil
- Rapporteret den:
- 11. apr 2003
- Berørte pakker:
- xfsdump
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 7321.
I Mitres CVE-ordbog: CVE-2003-0173.
CERTs noter om sårbarheder, bulletiner og hændelser: VU#111673. - Yderligere oplysninger:
-
Ethan Benson har opdaget et problem i xfsdump, som indeholder administrative værktøjer til XFS-filsystemet. Når kvoter (quotas) er slået til i filsystemet, bliver xfsdq kørt af xfsdump for at gemme kvoteoplysningerne i en fil i roden af det filsystem, som dump'es. Denne fil oprettes på en usikker måde.
I forbindelse med denne rettelse, er et nyt parameter, "-f path" blevet føjet til xfsdq(8), til angivelse af en uddatafil, i stedet for at anvende en standard-uddatastrøm. Filen oprettes af xfsdq og xfsdq kan ikke udføres, hvis filen allerede findes. Filen oprettes også med en mere passende "mode" end hvad umask tilfældigvis var, da xfsdump(8) blev kørt.
I den stabile distribution (woody) er dette problem rettet i version 2.0.1-2.
Den gamle stabile distribution (potato) er ikke påvirket, da den ikke indeholder xfsdump-pakker.
I den ustabile distribution (sid) er dette problem rettet i version 2.2.8-1.
Vi anbefaler at du omgående opgraderer din xfsdump-pakke.
- Rettet i:
-
Debian GNU/Linux 3.0 (woody)
- Kildekode:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2.dsc
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2.tar.gz
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2.tar.gz
- Alpha:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_sparc.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.