Рекомендация Debian по безопасности
DSA-836-1 cfengine2 -- небезопасные временные файлы
- Дата сообщения:
- 01.10.2005
- Затронутые пакеты:
- cfengine2
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2005-2960, CVE-2005-3137.
- Более подробная информация:
-
Хавьер Фернандез-Сангуино Пена обнаружил небезопасное использование временных файлов в cfengine2, инструменте для настройки и сопровождения связанных сетью машин, которое может использоваться для выполнению атаки через символьные ссылки для перезаписи произвольных файлов, владельцем которых является пользователь, запустивший cfengine, которым вероятнее всего является суперпользователь.
Предыдущий стабильный выпуск (woody) не подвержен данной проблеме.
В стабильном выпуске (sarge) эти проблемы были исправлены в версии 2.1.14-1sarge1.
В нестабильном выпуске (sid) эти проблемы будут исправлены позже.
Рекомендуется обновить пакет cfengine2.
- Исправлено в:
-
Debian GNU/Linux 3.1 (sarge)
- Исходный код:
- http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1.dsc
- http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1.diff.gz
- http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2-doc_2.1.14-1sarge1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_sparc.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.