Рекомендация Debian по безопасности

DSA-1657-1 qemu -- небезопасные временные файлы

Дата сообщения:
20.10.2008
Затронутые пакеты:
qemu
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 496394.
В каталоге Mitre CVE: CVE-2008-4553.
Более подробная информация:

Дмитрий Обухов обнаружил, что сценарий qemu-make-debian-root в qemu, быстром эмуляторе процессора, создаёт временные файлы небезопасным образом, что может приводить к локальному отказу в обслуживании из-за атаки через символические ссылки.

В стабильном выпуске (etch) эта проблема была исправлена в версии 0.8.2-4etch2.

В тестируемом (lenny) и нестабильном (sid) выпусках эта проблема была исправлена в версии 0.9.1-6.

Рекомендуется обновить пакет qemu.

Исправлено в:

Debian GNU/Linux 4.0 (etch)

Исходный код:
http://security.debian.org/pool/updates/main/q/qemu/qemu_0.8.2-4etch2.dsc
http://security.debian.org/pool/updates/main/q/qemu/qemu_0.8.2.orig.tar.gz
http://security.debian.org/pool/updates/main/q/qemu/qemu_0.8.2-4etch2.diff.gz
AMD64:
http://security.debian.org/pool/updates/main/q/qemu/qemu_0.8.2-4etch2_amd64.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/q/qemu/qemu_0.8.2-4etch2_i386.deb
PowerPC:
http://security.debian.org/pool/updates/main/q/qemu/qemu_0.8.2-4etch2_powerpc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.