Aviso de seguridad de Debian

DSA-787-1 backup-manager -- permisos y archivo temporal inseguro

Fecha del informe:

26 de ago de 2005

Paquetes afectados:

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: error 308897, error 315582.
En el diccionario CVE de Mitre: CVE-2005-1855, CVE-2005-1856.

Información adicional:

Se han descubierto dos errores en backup-manager, una utilidad para hacer copias de seguridad desde la línea de órdenes. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:

CAN-2005-1855
Jeroen Vermeulen descubrió que los archivos de respaldo se creaban con los permisos predefinidos, legibles para todos, incluso aunque tuviesen información sensible.
CAN-2005-1856
Sven Joachim descubrió que la característica opcional de grabación de CD del gestor de copias de seguridad utilizaba para ingresar un nombre de archivo de un directorio en el que podían escribir todos. Por tanto, era factible un ataque de enlaces simbólicos.

La distribución estable anterior (woody) no proporciona el paquete backup-manager.

Para la distribución estable (sarge), estos problemas se han corregido en la versión 0.5.7-1sarge1.

Para la distribución inestable (sid), estos problemas se han corregido en la versión 0.5.8-2.

Le recomendamos que actualice el paquete backup-manager.

Arreglado en:

Debian GNU/Linux 3.1 (sarge)

Fuentes:: http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7-1sarge1.dsc; http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7-1sarge1.diff.gz; http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7.orig.tar.gz
Componentes independientes de la arquitectura:: http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7-1sarge1_all.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.