Säkerhetsbulletin från Debian

DSA-1022-1 storebackup -- flera sårbarheter

Rapporterat den:
2006-04-04
Berörda paket:
storebackup
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 332434.
I Mitres CVE-förteckning: CVE-2005-3146, CVE-2005-3147, CVE-2005-3148.
Ytterligare information:

Flera sårbarheter har upptäckts i säkerhetskopieringsverktyget storebackup. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2005-3146

    Storebackup skapade en temporär fil på ett förutsägbart sätt, vilket kunde utnyttjas till att skriva över godtyckliga filer på systemet genom att angripa symboliska länkar.

  • CVE-2005-3147

    Rotkatalogen för säkerhetskopian skapades inte meed bestämda behörigheter, vilket kunde leda till felaktiga behörigheter om umask var satt allt för förlåtande.

  • CVE-2005-3148

    Användar- och grupprättigheter för symboliska länkar sätts felaktigt när säkerhetskopian skapas och återställs, vilket kan läcka känslig data.

Den gamla stabila utgåvan (Woody) innehåller inte paketet storebackup.

För den stabila utgåvan (Sarge) har dessa problem rättats i version 1.18.4-2sarge1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.19-2.

Vi rekommenderar att ni uppgraderar ert storebackup-paket.

Rättat i:

Debian GNU/Linux 3.1 (sarge)

Källkod:
http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1.dsc
http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1.diff.gz
http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.