Debians sikkerhedsbulletin

DSA-446-1 synaesthesia -- usikker filoprettelse

Rapporteret den:

21. feb 2004

Berørte pakker:

synaesthesia

Sårbar:

Referencer i sikkerhedsdatabaser:

I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 9713.
I Mitres CVE-ordbog: CVE-2004-0160.

Yderligere oplysninger:

Ulf Härnhammar fra Debians sikkerhedsauditprojekt har opdaget en sårbarhed i synaesthesia, et program som præsenterer lyde visuelt. synaesthesia oprettede sin opsætningsfil mens det havde root-rettigheder, hvilket gjorde det muligt for en lokal bruger at oprette filer ejet af root og skrivbare fra brugerens primære gruppe. Denne form for sårbarhed kan normalt let udnyttes på forskellig vis, til at udføre vilkårlig kode med root-rettigheder.

I den nuværende stabile distribution (woody) er dette problem rettet i version 2.1-2.1woody1.

Den ustabile distribution (sid) er ikke påvirket af dette problem, fordi synaesthesia er længere er setuid.

Vi anbefaler at du opdaterer din synaesthesia-pakke.

Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:: http://security.debian.org/pool/updates/main/s/synaesthesia/synaesthesia_2.1-2.1woody1.dsc; http://security.debian.org/pool/updates/main/s/synaesthesia/synaesthesia_2.1-2.1woody1.diff.gz; http://security.debian.org/pool/updates/main/s/synaesthesia/synaesthesia_2.1.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/s/synaesthesia/synaesthesia_2.1-2.1woody1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/s/synaesthesia/synaesthesia_2.1-2.1woody1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/s/synaesthesia/synaesthesia_2.1-2.1woody1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/s/synaesthesia/synaesthesia_2.1-2.1woody1_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/s/synaesthesia/synaesthesia_2.1-2.1woody1_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/s/synaesthesia/synaesthesia_2.1-2.1woody1_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/s/synaesthesia/synaesthesia_2.1-2.1woody1_mips.deb
PowerPC:: http://security.debian.org/pool/updates/main/s/synaesthesia/synaesthesia_2.1-2.1woody1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/s/synaesthesia/synaesthesia_2.1-2.1woody1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/s/synaesthesia/synaesthesia_2.1-2.1woody1_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.