Säkerhetsbulletin från Debian
DSA-843-1 arc -- osäker temporär fil
- Rapporterat den:
- 2005-10-05
- Berörda paket:
- arc
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2005-2945, CVE-2005-2992.
- Ytterligare information:
-
Två sårbarheter har upptäckts i arkiveringsprogrammet ARC under Unix. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CAN-2005-2945
Eric Romang upptäckte att arkiveringsprogrammet ARC under Unix skapar temporära filer med osäkra behörigheter, vilket kunde leda till att en angripare stjäl känslig information.
- CAN-2005-2992
Joey Schulze upptäckte att den temporära filen även skapas på ett osäkert sätt, vilket gör den sårbar för ett klassiskt angrepp mot symboliska länkar.
Den gamla stabila utgåvan (Woody) innehåller inte arc-paketet.
För den stabila utgåvan (Sarge) har dessa problem rättats i version 5.21l-1sarge1.
För den instabila utgåvan (Sid) har dessa problem rättats i version 5.21m-1.
Vi rekommenderar att ni uppgraderar ert arc-paket.
- CAN-2005-2945
- Rättat i:
-
Debian GNU/Linux 3.1 (sarge)
- Källkod:
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1.dsc
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1.diff.gz
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l.orig.tar.gz
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.