Sauter le menu

• À propos de Debian
• Actualités
• Obtenir Debian
• Assistance
• Le coin du développeur
• Plan du site
• Recherche

Bulletin d'alerte Debian

DSA-279-1 metrics -- Création non sécurisée de fichier temporaire

Date du rapport:

7 avril 2003

Paquets concernés:

metrics

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identificateur BugTraq 7293.
Dans le dictionnaire CVE du Mitre : CVE-2003-0202.

Pour plus d'information:

Paul Szabo et Matt Zimmerman ont découvert deux problèmes similaires dans metrics, un outil pour les logiciels de mesure. Deux scripts dans ce paquet, halstead et gather_stats, ouvrent des fichiers temporaires sans prendre les précautions appropriées de sécurité. halstead est installé comme un programme utilisateur, alors que gather_stats est utilisé seulement dans un script auxiliaire inclus dans le code source. Ces failles de sécurité pouvaient permettre à un attaquant local d'écraser des fichiers de l'utilisateur utilisant les scripts incluant root.

La distribution stable (Woody) n'est pas affectée étant donné qu'elle ne contient plus le paquet metrics.

Pour l'ancienne distribution stable (Potato), ce problème a été corrigé dans la version 1.0-1.1.

La distribution instable (Sid) n'est pas affectée étant donné qu'elle ne contient plus le paquet metrics.

Nous vous recommandons de mettre à jour votre paquet metrics.

Corrigé dans:

Debian GNU/Linux 2.2 (potato)

Source :

http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1.dsc

http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1.diff.gz

http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0.orig.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_i386.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_m68k.deb

PowerPC:

http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_powerpc.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/m/metrics/metrics_1.0-1.1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.

Cette page est aussi disponible dans les langues suivantes :

dansk Deutsch English español 日本語 (Nihongo) Português Русский (Russkij) svenska

Comment configurer la langue par défaut du document