Spring navigering over

• Om Debian
• Nyheder
• Få fat i Debian
• Support
• Udviklerhjørnet
• Sideoversigt
• Søg

Debians sikkerhedsbulletin

DSA-283-1 xfsdump -- usikker oprettelse af fil

Rapporteret den:

11. apr 2003

Berørte pakker:

xfsdump

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 7321.
I Mitres CVE-ordbog: CVE-2003-0173.
CERTs noter om sårbarheder, bulletiner og hændelser: VU#111673.

Yderligere oplysninger:

Ethan Benson har opdaget et problem i xfsdump, som indeholder administrative værktøjer til XFS-filsystemet. Når kvoter (quotas) er slået til i filsystemet, bliver xfsdq kørt af xfsdump for at gemme kvoteoplysningerne i en fil i roden af det filsystem, som dump'es. Denne fil oprettes på en usikker måde.

I forbindelse med denne rettelse, er et nyt parameter, "-f path" blevet føjet til xfsdq(8), til angivelse af en uddatafil, i stedet for at anvende en standard-uddatastrøm. Filen oprettes af xfsdq og xfsdq kan ikke udføres, hvis filen allerede findes. Filen oprettes også med en mere passende "mode" end hvad umask tilfældigvis var, da xfsdump(8) blev kørt.

I den stabile distribution (woody) er dette problem rettet i version 2.0.1-2.

Den gamle stabile distribution (potato) er ikke påvirket, da den ikke indeholder xfsdump-pakker.

I den ustabile distribution (sid) er dette problem rettet i version 2.2.8-1.

Vi anbefaler at du omgående opgraderer din xfsdump-pakke.

Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:

http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2.dsc

http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_ia64.deb

HPPA:

http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/x/xfsdump/xfsdump_2.0.1-2_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.

Denne side findes også på følgende sprog:

Deutsch English español français 日本語 (Nihongo) Português Русский (Russkij) suomi svenska

Sådan opsætter du standardsprogvalg for dokumenter