Рекомендация Debian по безопасности
DSA-302-1 fuzz -- присвоение привилегий
- Дата сообщения:
- 07.05.2003
- Затронутые пакеты:
- fuzz
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 7521.
В каталоге Mitre CVE: CVE-2003-0261. - Более подробная информация:
-
Джой Хесс (Joey Hess) обнаружил, что fuzz, инструмент для тестирования программного обеспечения на атаки, создаёт временный файл, не предпринимая надлежащих мер безопасности. Эта ошибка может позволить нападающему присвоить привилегии пользователя, запустившего fuzz, за исключением root (fuzz не позволяет себе быть запущенным от имени пользователя root).
В стабильном дистрибутиве (woody) эта проблема исправлена в версии 0.6-6woody1.
Старый стабильный дистрибутив (potato) не содержит пакета fuzz.
В нестабильном дистрибутиве (sid) эта проблема будет исправлена в ближайшее время.
Мы рекомендуем вам обновить пакет fuzz.
- Исправлено в:
-
Debian GNU/Linux 3.0 (woody)
- Исходный код:
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1.dsc
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1.diff.gz
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/f/fuzz/fuzz_0.6-6woody1_sparc.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.