Debian-Sicherheitsankündigung
DSA-1577-1 gforge -- unsichere temporäre Dateien
- Datum des Berichts:
- 14. Mai 2008
- Betroffene Pakete:
- gforge
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2008-0167.
- Weitere Informationen:
-
Stephen Gran und Mark Hymers entdeckten, dass einige von GForge, einem kollaborativen Entwicklungswerkzeug, ausgeführte Skripte Dateien mit Schreibberechtigung in einer möglicherweise unsicheren Art öffneten. Dies kann auf dem lokalen System dazu verwandt werden, beliebige Dateien zu überschreiben.
Für die stabile Distribution (Etch) wurde dieses Problem in Version 4.5.14-22etch8 behoben.
Für die instabile Distribution (Sid) wird dieses Problem in Kürze behoben.
Wir empfehlen, dass Sie Ihr gforge-Paket aktualisieren.
- Behoben in:
-
Debian GNU/Linux 4.0 (etch)
- Quellcode:
- http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch8.dsc
- http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch8.diff.gz
- http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14.orig.tar.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim_4.5.14-22etch8_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-web-apache_4.5.14-22etch8_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-courier_4.5.14-22etch8_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge_4.5.14-22etch8_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-postfix_4.5.14-22etch8_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-ldap_4.5.14-22etch8_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-shell-postgresql_4.5.14-22etch8_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-common_4.5.14-22etch8_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-db-postgresql_4.5.14-22etch8_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-ftp-proftpd_4.5.14-22etch8_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-mta-exim4_4.5.14-22etch8_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-lists-mailman_4.5.14-22etch8_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-ldap-openldap_4.5.14-22etch8_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-dns-bind9_4.5.14-22etch8_all.deb
- http://security.debian.org/pool/updates/main/g/gforge/gforge-web-apache_4.5.14-22etch8_all.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.