Aviso de seguridad de Debian
DSA-283-1 xfsdump -- creación de archivo insegura
- Fecha del informe:
- 11 de abr de 2003
- Paquetes afectados:
- xfsdump
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 7321.
En el diccionario CVE de Mitre: CVE-2003-0173.
Notas y avisos de incidentes y vulnerabilidades en CERT: VU#111673. - Información adicional:
-
Ethan Benson descubrió un problema en xfsdump, que contiene utilidades administrativas para el sistema XFS. Cuando estaban activadas las cuotas, xfsdump lanzaba xfsdq para guardar la información de las cuotas en un archivo en la raíz del sistema de archivos que se estuviera volcando. La forma en la que se creaba este archivo era insegura.
Al corregir esto, se ha añadido la opción “-f ruta” a xfsdq(8) para especificar un archivo de salida en lugar de usar el flujo de salida estándar. Este archivo lo crea xfsdq, y fallará si ya existe. El archivo también se crea con un modo más apropiado que la máscara que ocurría al lanzar xfsdump(8).
Para la distribución estable (woody), este problema se ha corregido en la versión 2.0.1-2.
La distribución estable anterior (potato) no se ve afectada porque no contiene los paquetes de xfsdump.
Para la distribución inestable (sid), este problema se ha corregido en la versión 2.2.8-1.
Le recomendamos que actualice el paquete xfsdump inmediatamente.
- Arreglado en:
-
Debian GNU/Linux 3.0 (woody)
- Fuentes:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2.dsc
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2.tar.gz
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2.tar.gz
- Alpha:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.