Debian セキュリティ勧告
DSA-283-1 xfsdump -- 安全でないファイル作成
- 報告日時:
- 2003-04-11
- 影響を受けるパッケージ:
- xfsdump
- 危険性:
- あり
- 参考セキュリティデータベース:
- (SecurityFocus の) Bugtraq データベース: BugTraq ID 7321.
Mitre の CVE 辞書: CVE-2003-0173.
CERT の脆弱性リスト、勧告および付加情報: VU#111673. - 詳細:
-
Ethan Benson さんにより、XFS ファイルシステムの管理 ユーティリティである xfsdump に問題が発見されました。 ファイルシステムのクオータが有効になっている場合、xfsdump は xfsdq を起動して、ダンプしているファイルシステムの ルートディレクトリにクオータ情報を保存します。 このファイルの生成が、安全に行われていません。
この問題を修正するため、新たなオプション「-f path」が xfsdq に追加されました。これは、標準出力ストリームに代わり 出力を行うファイルを指定するためのものです。 このファイルは xfsdq によって生成されますが、 既にファイルが存在していた場合、xfsdq 処理が失敗します。 また、このファイルは xfsdump(8) が実行された際の umask の値にかかわらず、適切なパーミッションで生成されます。
この問題は、現安定版 (stable)(woody) では、バージョン 2.0.1-2 で修正されています。
旧安定版 (potato) は、xfsdump パッケージを収録していないので、 この問題の影響は受けません。
不安定版 (unstable)(sid) では、この問題はバージョン 2.2.8-1 で修正されています。
xfsdump パッケージを早急にアップグレードすることを お勧めします。
- 修正:
-
Debian GNU/Linux 3.0 (woody)
- ソース:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2.dsc
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2.tar.gz
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2.tar.gz
- Alpha:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_sparc.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。