Säkerhetsbulletin från Debian

DSA-787-1 backup-manager -- osäkra behörigheter och temporär fil

Rapporterat den:

2005-08-26

Berörda paket:

backup manager

Sårbara:

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 308897, Fel 315582.
I Mitres CVE-förteckning: CVE-2005-1855, CVE-2005-1856.

Ytterligare information:

Två fel har upptäckts i backup-manager, ett kommandoradsdrivet verktyg för säkerhetskopiering. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

CAN-2005-1855
Jeroen Vermeulen upptäckte att säkerhetskopierade filer skapas med standardbehörigheter som gör dem läsbara för alla, även om de kan innehålla känslig information.
CAN-2005-1856
Sven Joachim upptäckte att den valfria funktionen i backup-manager för att bränna cd använder ett hårdkodat filnamn i en katalog skrivbar för alla för loggning. Detta kan utnyttjas genom att angripa symboliska länkar.

Den gamla stabila utgåvan (Woody) innehåller inte paketet backup-manager.

För den stabila utgåvan (Sarge) har dessa problem rättats i version 0.5.7-1sarge1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 0.5.8-2.

Vi rekommenderar att ni uppgraderar ert backup-manager-paket.

Rättat i:

Debian GNU/Linux 3.1 (sarge)

Källkod:: http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7-1sarge1.dsc; http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7-1sarge1.diff.gz; http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7.orig.tar.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7-1sarge1_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.