Debian-Sicherheitsankündigung

DSA-1022-1 storebackup -- Mehrere Verwundbarkeiten

Datum des Berichts:

04. Apr 2006

Betroffene Pakete:

storebackup

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In der Debian-Fehlerdatenbank: Fehler 332434.
In Mitres CVE-Verzeichnis: CVE-2005-3146, CVE-2005-3147, CVE-2005-3148.

Weitere Informationen:

Mehrere Verwundbarkeiten wurden in den Backup-Werkzeug storebackup entdeckt. Das Common Vulnerabilities and Exposures Project legt die folgenden Probleme fest:

CVE-2005-3146
Storebackup erstellt vorhersehbar eine temporäre Datei, was dazu ausgenutzt werden kann, über einen Symlink-Angriff beliebige Dateien auf dem System zu überschreiben.
CVE-2005-3147
Das root-Verzeichnis für Backups wurde nicht mir festgelegten Berechtigungen erstellt, was unangemessene Berechtigungen zur Folge haben kann, wenn die umask zu locker eingestellt ist.
CVE-2005-3148
Die Benutzer- und Gruppenberechtigungen von Symlinks werden falsch gesetzt, wenn ein Backup durchgeführt oder wiederhergestellt wird, wodurch eventuell sensitive Informationen offenbart werden.

Die alte Stable-Distribution (Woody) enthält keine storebackup-Pakete.

Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 1.18.4-2sarge1 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 1.19-2 behoben.

Wir empfehlen Ihnen, Ihr storebackup-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (sarge)

Quellcode:: http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1.dsc; http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1.diff.gz; http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4.orig.tar.gz
Architektur-unabhängige Dateien:: http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.