Aviso de seguridad de Debian
DSA-843-1 arc -- archivo temporal inseguro
- Fecha del informe:
- 5 de oct de 2005
- Paquetes afectados:
- arc
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2005-2945, CVE-2005-2992.
- Información adicional:
-
Se han descubierto dos vulnerabilidades en el programa para archivar ARC bajo Unix. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:
- CAN-2005-2945
Eric Romang descubrió que el programa para archivar ARC bajo Unix creaba un archivo temporal con prmisos inseguros, lo que podría llevar a que un atacante robase información sensible.
- CAN-2005-2992
Joey Schulze descubrió que el archivo temporal también se creaba de una forma insegura, dejando la puerta abierta para un ataque clásico de enlaces simbólicos.
La distribución estable anterior (woody) no contiene los paquetes de arc.
Para la distribución estable (sarge) estos problemas se han corregido en la versión 5.21l-1sarge1.
Para la distribución inestable (sid) estos problemas se han corregido en la versión 5.21m-1.
Le recomendamos que actualice el paquete arc.
- CAN-2005-2945
- Arreglado en:
-
Debian GNU/Linux 3.1 (sarge)
- Fuentes:
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1.dsc
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1.diff.gz
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l.orig.tar.gz
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.