Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheitsankündigung

DSA-279-1 metrics -- Unsichere Erstellung temporärer Dateien

Datum des Berichts:

07. Apr 2003

Betroffene Pakete:

metrics

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 7293.
In Mitres CVE-Verzeichnis: CVE-2003-0202.

Weitere Informationen:

Paul Szabo und Matt Zimmerman haben zwei ähnliche Probleme in metrics entdeckt, einem Werkzeug für Software-Metrik. Zwei Skripte in diesem Paket, "halstead" und "gather_stats", öffnen temporäre Dateien, ohne die angemessenen Sicherheitsvorkehrungen zu treffen. "halstead" wird als Benutzerprogramm installiert, während "gather_stats" lediglich in einem Helferskript benutzt wird, das im Sourcecode enthalten ist. Diese Verwundbarkeiten können es einem lokalen Angreifer erlauben, Dateien zu überschreiben, die dem Benutzer gehören, der die Skripte ausführt, einschließlich root.

Die stable Distribution (Woody) ist nicht betroffen, weil sie keine metrics-Pakete mehr enthält.

Für die alte stable Distribution (Potato) wurde dieses Problem in Version 1.0-1.1 behoben.

Die unstable Distribution (Sid) ist nicht betroffen, weil sie keine metrics-Pakete mehr enthält.

Wir empfehlen Ihnen, Ihr metrics-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:

http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1.dsc

http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1.diff.gz

http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0.orig.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_i386.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_m68k.deb

PowerPC:

http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_powerpc.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

Diese Seite gibt es auch in den folgenden Sprachen:

dansk English español français 日本語 (Nihongo) Português Русский (Russkij) svenska

Wie stellt man die Standardsprache ein