Aviso de seguridad de Debian
DSA-846-1 cpio -- varias vulnerabilidades
- Fecha del informe:
- 7 de oct de 2005
- Paquetes afectados:
- cpio
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el sistema de seguimiento de errores de Debian: error 306693, error 305372.
En el diccionario CVE de Mitre: CVE-2005-1111, CVE-2005-1229. - Información adicional:
-
Se han descubierto dos vulnerabilidades en cpio, un programa para gestionar compendios de archivos. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:
- CAN-2005-1111
Imran Ghory descubrió una condición de fuga en la definición de los permisos de los archivos que se extraían de compendios cpio. Un atacante local con permiso de escritura en el directorio destino podía sacar provecho de esto para alterar los permisos de archivos arbitrarios en los que tuviera permiso de escritura el usuario que estuviese extrayendo.
- CAN-2005-1229
Imran Ghory descubrió que cpio no saneaba la ruta de los archivos que extraía, aunque se especificase la opción --no-absolute-filenames. De esto se podía sacar provecho para instalar los archivos en ubicaciones arbitrarias en las que tuviera permiso de escritura el usuario que estuviese extrayendo.
Para la distribución estable anterior (woody), estos problemas se han corregido en la versión 2.4.2-39woody2.
Para la distribución estable (sarge), estos problemas se han corregido en la versión 2.5-1.3.
Para la distribución inestable (sid), estos problemas se han corregido en la versión 2.6-6.
Le recomendamos que actualice el paquete cpio.
- CAN-2005-1111
- Arreglado en:
-
Debian GNU/Linux 3.0 (woody)
- Fuentes:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2.dsc
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2.diff.gz
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_sparc.deb
Debian GNU/Linux 3.1 (sarge)
- Fuentes:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3.dsc
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3.diff.gz
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.