Debians sikkerhedsbulletin
DSA-323-1 noweb -- usikre midlertidige filer
- Rapporteret den:
- 16. jun 2003
- Berørte pakker:
- noweb
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 7937.
I Mitres CVE-ordbog: CVE-2003-0381. - Yderligere oplysninger:
-
Jakob Lell har opdaget en fejl i skriptet 'noroff', der følger med noweb, hvor en midlertidig fil blev oprettet på en usikker måde. Under en kodegennemgang blev flere andre forekomster af dette problem opdaget og rettet. Alle disse fejl kunne udnyttes af en lokal bruger til at overskrive vilkårlige filer, som ejes af brugeren der kører skriptet.
I den stabile distribution (woody) er disse problemer rettet i version 2.9a-7.3.
I den gamle stabile distribution (potato) er dette problem rettet i version 2.9a-5.1.
I den ustabile distribution (sid) vil dette problem snart blive rettet.
Vi anbefaler at opdaterer din noweb-pakke.
- Rettet i:
-
Debian GNU/Linux 2.2 (potato)
- Kildekode:
- http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a-5.1.dsc
- http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a-5.1.diff.gz
- http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a.orig.tar.gz
- http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a-5.1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-5.1_alpha.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-5.1_i386.deb
Debian GNU/Linux 3.0 (woody)
- Kildekode:
- http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a-7.2.dsc
- http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a-7.2.diff.gz
- http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a.orig.tar.gz
- http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a-7.2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-7.3_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-7.3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-7.3_i386.deb
- HPPA:
- http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-7.3_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-7.3_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-7.3_mips.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.