Debianin tietoturvatiedote
DSA-283-1 xfsdump -- epäluotettava tiedoston luonti
- Ilmoitettu:
- 11. 4.2003
- Vaikutuksen alaiset paketit:
- xfsdump
- Altis:
- Kyllä
- Viittaukset tietoturvatietokantoihin:
- Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 7321.
Mitren CVE-sanakirjassa: CVE-2003-0173.
CERT:n alttiudet, tiedotteet ja ongelmahuomiot: VU#111673. - Lisätietoa:
-
Ethan Benson havaitsi ongelman xfsdumpissa, XFS-tiedostojärjestelmän hallintatyökaluja sisältävässä paketissa. Kun tiedostojärjestelmäkiintiöt (quota) ovat käytössä, xfsdump ajaa xfsdq:n tallentaakseen kiintiötiedot erilliseen tiedostoon vedostettavan tiedostojärjestelmän juureen. Tapa jolla kyseinen tiedosto luodaan on epäluotettava.
Tätä korjattaessa, xfsdq:hun(8) lisättiin uusi valitsin "-f path" tulostiedoston erittelyyn vakiotulostevuon käytön sijaan. xfsdq luo tämän tiedoston mutta se ei suorita tehtävää mikäli tiedosto on jo olemassa. Tiedoston luonnissa käytetään myöskin tarkoituksenmukaisempaa moodia kuin mitä umask sattui olemaan kun xfsdump(8) ajettiin.
Ongelma on korjattu vakaan jakelun (woody) versiossa 2.0.1-2 .
Aiempi vakaa jakelu (potato) ei ole altis tälle ongelmalle sillä se ei sisällä xfsdump-paketteja.
Ongelma on korjattu epävakaan jakelun (sid) versiossa 2.2.8-1 .
Suosittelemme päivittämään xfsdump-paketit välittömästi.
- Korjattu:
-
Debian GNU/Linux 3.0 (woody)
- Lähde:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2.dsc
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2.tar.gz
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2.tar.gz
- Alpha:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_sparc.deb
Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.