Debian-Sicherheitsankündigung
DSA-846-1 cpio -- Mehrere Verwundbarkeiten
- Datum des Berichts:
- 07. Okt 2005
- Betroffene Pakete:
- cpio
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Debian-Fehlerdatenbank: Fehler 306693, Fehler 305372.
In Mitres CVE-Verzeichnis: CVE-2005-1111, CVE-2005-1229. - Weitere Informationen:
-
Zwei Verwundbarkeiten wurden in cpio entdeckt, einem Programm zur Verwaltung von Dateiarchiven. Das
Common Vulnerabilities and Exposures project
identifiziert die folgenden Probleme:- CAN-2005-1111
Imran Ghory entdeckte eine Race-Condition beim Setzen der Dateirechte von Dateien, die aus cpio-Archiven entpackt werden. Ein lokaler Angreifer mit Schreibzugriff auf das Zielverzeichnis kann dies ausnutzen, um die Rechte von beliebigen Dateien zu ändern, für die der Benutzer Schreibrechte hat, der die Dateien entpackt.
- CAN-2005-1229
Imran Ghory entdeckte, dass cpio den Pfad von entpackten Dateien nicht entschärft, selbst dann nicht, wenn die Option --no-absolute-filenames angegeben wird. Dies kann ausgenutzt werden, um Dateien an beliebigen Orten zu installieren, für die der entpackende Benutzer Schreibrechte besitzt.
Für die alte Stable-Distribution (Woody) wurden diese Probleme in Version 2.4.2-39woody2 behoben.
Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 2.5-1.3 behoben.
Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 2.6-6 behoben.
Wir empfehlen Ihnen, Ihr cpio-Paket zu aktualisieren.
- CAN-2005-1111
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2.dsc
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2.diff.gz
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_sparc.deb
Debian GNU/Linux 3.1 (sarge)
- Quellcode:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3.dsc
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3.diff.gz
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.