Bulletin d'alerte Debian

DSA-835-1 cfengine -- Fichiers temporaires non sécurisés

Date du rapport :
1er octobre 2005
Paquets concernés :
cfengine
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2005-2960, CVE-2005-3137.
Plus de précisions :

Javier Fernández-Sanguino Peña a découvert plusieurs utilisations non sécurisées de fichiers temporaires dans cfengine, un outil de configuration et de maintenance de machines en réseau. Une attaque par lien symbolique pouvait être utilisée pour écraser des fichiers arbitraires de l'utilisateur exécutant cfengine, qui est souvent le superutilisateur.

Pour l'ancienne distribution stable (Woody), ces problèmes ont été corrigés dans la version 1.6.3-9woody1.

Pour l'actuelle distribution stable (Sarge), ces problèmes ont été corrigés dans la version 1.6.5-1sarge1.

Pour la distribution instable (Sid), ces problèmes seront bientôt corrigés.

Nous vous recommandons de mettre à jour votre paquet cfengine.

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.3-9woody1.dsc
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.3-9woody1.diff.gz
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.3.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/c/cfengine/cfengine-doc_1.6.3-9woody1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.3-9woody1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.3-9woody1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.3-9woody1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.3-9woody1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.3-9woody1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.3-9woody1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.3-9woody1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.3-9woody1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.3-9woody1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.3-9woody1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.3-9woody1_sparc.deb

Debian GNU/Linux 3.1 (sarge)

Source :
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5-1sarge1.dsc
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5-1sarge1.diff.gz
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/c/cfengine/cfengine-doc_1.6.5-1sarge1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5-1sarge1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5-1sarge1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5-1sarge1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5-1sarge1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5-1sarge1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5-1sarge1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5-1sarge1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5-1sarge1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5-1sarge1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5-1sarge1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5-1sarge1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5-1sarge1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.