Debian-Sicherheitsankündigung

DSA-787-1 backup-manager -- Unsichere Zugriffsrechte und temporäre Dateien

Datum des Berichts:

26. Aug 2005

Betroffene Pakete:

backup-manager

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In der Debian-Fehlerdatenbank: Fehler 308897, Fehler 315582.
In Mitres CVE-Verzeichnis: CVE-2005-1855, CVE-2005-1856.

Weitere Informationen:

Zwei Fehler wurden in backup-manager gefunden, einem Befehlszeilen-orientierten Hilfsprogramm für Sicherheitskopien. Das Common Vulnerabilities and Exposures project identifiziert die folgenden Probleme:

CAN-2005-1855
Jeroen Vermeulen entdeckte, dass die Dateien der Sicherheitskopien standardmäßig mit Dateirechten erstellt werden, die diese für jedermann lesbar machen, obwohl sie möglicherweise vertrauliche Informationen enthalten.
CAN-2005-1856
Sven Joachim entdeckte, dass die wahlweise Möglichkeit, eine CD von backup-manager aus zu brennen, einen festgesetzten Dateinamen zum Protokollieren verwendet, der in einem für jedermann lesbaren Verzeichnis liegt. Dies kann mit einem Symlink-Angriff ausgenutzt werden.

Die alte Stable-Distribution (Woody) stellt das backup-manager-Paket nicht zur Verfügung.

Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 0.5.7-1sarge1 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 0.5.8-2 behoben.

Wir empfehlen Ihnen, Ihr backup-manager-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (sarge)

Quellcode:: http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7-1sarge1.dsc; http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7-1sarge1.diff.gz; http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7.orig.tar.gz
Architektur-unabhängige Dateien:: http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7-1sarge1_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.