Debian-Sicherheitsankündigung
DSA-283-1 xfsdump -- Unsichere Dateierstellung
- Datum des Berichts:
- 11. Apr 2003
- Betroffene Pakete:
- xfsdump
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 7321.
In Mitres CVE-Verzeichnis: CVE-2003-0173.
CERTs Verwundbarkeiten, Hinweise und Ereignis-Notizen: VU#111673. - Weitere Informationen:
-
Ethan Benson entdeckte ein Problem in xfsdump, das administrative Werkzeuge für das XFS-Dateisystem enthält. Wenn Dateisystem-Quotas aktiviert sind, ruft xfsdump xfsdq auf, um die Quota-Informationen in eine Datei im Wurzel-Verzeichnis des Dateisystems zu speichern, das gespeichert wird. Die Art, auf die diese Datei erstellt wird, ist unsicher.
Während dies behoben wurde, wurde eine neue Option »-f pfad« zu xfsdq(8) hinzugefügt, um eine Ausgabedatei anzugeben, statt den Standardausgabe-Kanal zu verwenden. Dieses Datei wird von xfsdq erstellt, und xfsdq wird nicht funktionieren, wenn es bereits vorhanden ist. Die Datei wird ebenfalls mit passenderen als von umask bevorzugten Zugriffsrechten erstellt, während xfsdump(8) ausgeführt wird.
Für die stable Distribution (Woody) wurde dieses Problem in Version 2.0.1-2 behoben.
Die alte stable Distribution (Potato) ist nicht davon betroffen, da sie keine xfsdump-Pakete enthält.
Für die unstable Distribution (Sid) wurde dieses Problem in Version 2.2.8-1 behoben.
Wir empfehlen Ihnen, Ihr xfsdump-Paket unverzüglich zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2.dsc
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2.tar.gz
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2.tar.gz
- Alpha:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.