Debian-Sicherheitsankündigung
DSA-903-2 unzip -- Race-Condition
- Datum des Berichts:
- 21. Nov 2005
- Betroffene Pakete:
- unzip
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Debian-Fehlerdatenbank: Fehler 321927, Fehler 343680.
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 14450.
In Mitres CVE-Verzeichnis: CVE-2005-2475. - Weitere Informationen:
-
Die Aktualisierung für unzip in DSA 903 enthielt einen Rückschritt, so dass symbolische Verweise, die später in einem zip-Archive aufgelöst werden, nicht mehr unterstützt wurden. Diese Aktualisierung korrigiert den Fehler. Der Vollständigkeit halber ist unten der Text der ursprünglichen Ankündigung wiedergegeben:
Imran Ghory entdeckte eine Race-Condition im Code für das Einstellen der Rechte in unzip. Wenn eine Datei in einem Verzeichnis entpackt wird, auf das der Angreifer Zugriff hat, kann unzip dazu gebracht werden, die Dateirechte für eine andere Datei einzustellen, auf die der Benutzer Zugriff hat.
Für die alte Stable-Distribution (Woody) wurde dieses Problem in Version 5.50-1woody5 behoben.
Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 5.52-1sarge3 behoben.
Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 5.52-6 behoben.
Wir empfehlen Ihnen, Ihr unzip-Paket zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.50-1woody5.dsc
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.50-1woody5.diff.gz
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.50.orig.tar.gz
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.50-1woody5.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.50-1woody5_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.50-1woody5_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.50-1woody5_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.50-1woody5_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.50-1woody5_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.50-1woody5_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.50-1woody5_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.50-1woody5_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.50-1woody5_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.50-1woody5_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.50-1woody5_sparc.deb
Debian GNU/Linux 3.1 (sarge)
- Quellcode:
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.52-1sarge3.dsc
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.52-1sarge3.diff.gz
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.52.orig.tar.gz
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.52-1sarge3.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.52-1sarge3_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.52-1sarge3_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.52-1sarge3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.52-1sarge3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.52-1sarge3_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.52-1sarge3_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.52-1sarge3_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.52-1sarge3_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.52-1sarge3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.52-1sarge3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.52-1sarge3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/u/unzip/unzip_5.52-1sarge3_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.
MD5-Prüfsummen der aufgezählten Dateien stehen in der überarbeiteten Sicherheitsankündigung zur Verfügung.