Bulletin d'alerte Debian
DSA-846-1 cpio -- Plusieurs vulnérabilités
- Date du rapport :
- 7 octobre 2005
- Paquets concernés :
- cpio
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 306693, Bogue 305372.
Dans le dictionnaire CVE du Mitre : CVE-2005-1111, CVE-2005-1229. - Plus de précisions :
-
Deux vulnérabilités ont été découvertes dans cpio, un programme pour gérer les archives de fichiers. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :
- CAN-2005-1111
Imran Ghory a découvert une situation de concurrence dans le réglage des permissions des fichiers extraits d'archives cpio. Un attaquant local muni de droits d'écriture sur le répertoire cible pouvait exploiter cette vulnérabilité pour modifier les permissions des mêmes fichiers que ceux que l'utilisateur de cpio peut modifier.
- CAN-2005-1229
Imran Ghory a découvert que cpio ne vérifiait pas le chemin d'extraction des fichiers même si l'option --no-absolute-filenames était spécifiée. Cela pouvait être utilisé afin d'installer des fichiers dans des répertoires arbitraires où l'utilisateur de cpio pouvait écrire.
Pour l'ancienne distribution stable (Woody, ces problèmes ont été corrigés dans la version 2.4.2-39woody2.
Pour l'actuelle distribution stable (Sarge), ces problèmes ont été corrigés dans la version 2.5-1.3.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 2.6-6.
Nous vous recommandons de mettre à jour votre paquet cpio.
- CAN-2005-1111
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2.dsc
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2.diff.gz
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_sparc.deb
Debian GNU/Linux 3.1 (sarge)
- Source :
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3.dsc
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3.diff.gz
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.