Debian セキュリティ勧告
DSA-1022-1 storebackup -- 複数の脆弱性
- 報告日時:
- 2006-04-04
- 影響を受けるパッケージ:
- storebackup
- 危険性:
- あり
- 参考セキュリティデータベース:
- Debian バグ追跡システム: バグ 332434.
Mitre の CVE 辞書: CVE-2005-3146, CVE-2005-3147, CVE-2005-3148. - 詳細:
-
バックアップユーティリティ storebackup に複数の欠陥が発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています:
- CVE-2005-3146
Storebackup は一時ファイルを予測通りに作成します。 これを悪用してシステム上で任意のファイルを上書きし、 シンボリックリンク攻撃が可能です。
- CVE-2005-3147
バックアップのルートディレクトリを決まった権限で作成していません。 umask が緩過ぎる場合に適切でない権限設定につながる可能性があります。
- CVE-2005-3148
バックアップの作成および復元時、 シンボリックリンクのユーザおよびグループが適切にセットされていません。 機密データを漏洩する可能性があります。
旧安定版 (old stable) ディストリビューション (woody) には storebackup パッケージは含まれません。
安定版 (stable) ディストリビューション (sarge) では、この問題はバージョン 1.18.4-2sarge1 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.19-2 で修正されています。
直ちに storebackup パッケージをアップグレードすることを勧めます。
- CVE-2005-3146
- 修正:
-
Debian GNU/Linux 3.1 (sarge)
- ソース:
- http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1.dsc
- http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1.diff.gz
- http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1.diff.gz
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1_all.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。