Debian-Sicherheitsankündigung
DSA-323-1 noweb -- Unsichere temporäre Dateien
- Datum des Berichts:
- 16. Jun 2003
- Betroffene Pakete:
- noweb
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 7937.
In Mitres CVE-Verzeichnis: CVE-2003-0381. - Weitere Informationen:
-
Jakob Lell entdeckte einen Fehler im 'noroff' Skript, das in noweb enthalten ist, durch den eine temporäre Datei unsicher erstellt wurde. Während der Prüfung wurden einige andere Umstände dieses Problems entdeckt und behoben. Jeder dieser Fehler könnte von einem lokalen Benutzer ausgenutzt werden, um willkürliche Dateien zu überschreiben, die dem Benutzer gehören, der das Skript ausführt.
Für die stable Distribution (Woody) wurden diese Probleme in Version 2.9a-7.3 behoben.
Für die alte stable Distribution (Potato) wurden diese Probleme in Version 2.9a-5.1 behoben.
Für die unstable Distribution (Sid) werden diese Probleme bald behoben.
Wir empfehlen Ihnen, Ihr noweb-Paket zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 2.2 (potato)
- Quellcode:
- http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a-5.1.dsc
- http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a-5.1.diff.gz
- http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a.orig.tar.gz
- http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a-5.1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-5.1_alpha.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-5.1_i386.deb
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a-7.2.dsc
- http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a-7.2.diff.gz
- http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a.orig.tar.gz
- http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a-7.2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-7.3_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-7.3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-7.3_i386.deb
- HPPA:
- http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-7.3_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-7.3_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-7.3_mips.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.