Рекомендация Debian по безопасности
DSA-1022-1 storebackup -- несколько уязвимостей
- Дата сообщения:
- 04.04.2006
- Затронутые пакеты:
- storebackup
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 332434.
В каталоге Mitre CVE: CVE-2005-3146, CVE-2005-3147, CVE-2005-3148. - Более подробная информация:
-
В storebackup, утилите для резервного копирования, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2005-3146
Storebackup создаёт предсказуемый временный файл, что может использоваться для перезаписи произвольных файлов в системе при помощи атаки через символьные ссылки.
- CVE-2005-3147
Корневой каталог резервной копии не создаётся с фиксированными правами доступа, что может приводить к неправильным правам доступа в случае, если используется слишком слабое значение umask.
- CVE-2005-3148
Права пользователя и группы символьных ссылок устанавливаются неправильно при создании или восстановлении резервной копии, что может приводить к утечке чувствительных данных.
В предыдущем стабильном выпуске (woody) пакеты storebackup отсутствуют.
В стабильном выпуске (sarge) эти проблемы были исправлены в версии 1.18.4-2sarge1.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.19-2.
Рекомендуется обновить пакет storebackup.
- CVE-2005-3146
- Исправлено в:
-
Debian GNU/Linux 3.1 (sarge)
- Исходный код:
- http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1.dsc
- http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1.diff.gz
- http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.