Debians sikkerhedsbulletin

DSA-1022-1 storebackup -- flere sårbarheder

Rapporteret den:
4. apr 2006
Berørte pakker:
storebackup
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 332434.
I Mitres CVE-ordbog: CVE-2005-3146, CVE-2005-3147, CVE-2005-3148.
Yderligere oplysninger:

Flere sårbarheder er opdaget i backup-værktøjet storebackup. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:

  • CVE-2005-3146

    Storebackup oprettede en midlertidig fil på en forudsigelig måde, hvilket kunne udnyttes til at overskrive vilkårlige filer på systemet med et symlink-angreb.

  • CVE-2005-3147

    Backup'ens rodmappe blev ikke oprettet med faste rettigheder, hvilket kunne føre til ukorrekte rettigheder hvis umask'en var for slap.

  • CVE-2005-3148

    Bruger- og grupperettighederne hørende til symlinks blev opsat ukorrekt ved fremstilling eller tilbagelægning af en backup, hvilket kunne medføre lækage af følsomme oplysninger.

Den gamle stabile distribution (woody) indeholder ikke storebackup-pakker.

I den stabile distribution (sarge) er disse problemer rettet i version 1.18.4-2sarge1.

I den ustabile distribution (sid) er disse problemer rettet i version 1.19-2.

Vi anbefaler at du opgraderer din storebackup-pakke.

Rettet i:

Debian GNU/Linux 3.1 (sarge)

Kildekode:
http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1.dsc
http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1.diff.gz
http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.