Поль Забо (Paul Szabo) и Мэтт Циммерман (Matt Zimmerman) обнаружили две схожие проблемы в metrics, инструменте анализа характеристик программного обеспечения. Два скрипта, входящие в пакет, halstead и gather_stats, создают временные файлы, не принимая надлежащих мер по обеспечению безопасности. halstead устанавливается как пользовательская программа, в то время как gather_stats используется только как вспомогательный скрипт, включённый в исходный код. Эти уязвимости могут позволить локальному нападающему переписать файлы, принадлежащие пользователю, от имени которого выполняются скрипты, включая пользователя root.
Стабильный дистрибутиве (woody) не затронут, поскольку он уже не содержит пакета metrics.
В старом стабильном дистрибутиве (potato) эта проблема исправлена в версии 1.0-1.1.
Нестабильный дистрибутив (sid) не затронут, поскольку он уже не содержит пакета metrics.
Мы рекомендуем вам обновить пакет metrics.
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.