Debian-Sicherheitsankündigung
DSA-302-1 fuzz -- Privilegien-Erweiterung
- Datum des Berichts:
- 07. Mai 2003
- Betroffene Pakete:
- fuzz
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 7521.
In Mitres CVE-Verzeichnis: CVE-2003-0261. - Weitere Informationen:
-
Joey Hess hat entdeckt, dass fuzz, ein Software Stress-Test-Tool, eine temporäre Datei ohne die richtigen Sicherheitsmaßnahmen erstellt. Dieser Fehler könnte es einem Angreifer ermöglichen, die Rechte des Anwenders, der fuzz aufruft, zu erlangen. Dies betrifft nicht root, da fuzz es nicht erlaubt, als root ausgeführt zu werden.
Für die stable Distribution (Woody) wurde dieses Problem in Version 0.6-6woody1 behoben.
Die alte stable Distribution (Potato) enthält kein fuzz-Paket.
Für die unstable Distribution (Sid) wird dieses Problem bald behoben werden.
Wir empfehlen Ihnen, Ihr fuzz-Paket zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1.dsc
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1.diff.gz
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.