Debian-Sicherheitsankündigung

DSA-883-1 thttpd -- Unsichere temporäre Datei

Datum des Berichts:

04. Nov 2005

Betroffene Pakete:

thttpd

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2005-3124.

Weitere Informationen:

Javier Fernández-Sanguino Peña vom Debian Sicherheits-Audit-Projekt entdeckte, dass das Skript syslogtocern aus dem Paket thttpd, einem kleinen Webserver, eine temporäre Datei auf unsichere Art und Weise benutzt. Dadurch wird es einem lokalen Angreifer ermöglicht, einen Symlink-Angriff durchzuführen, um beliebige Dateien zu überschreiben.

Für die alte Stable-Distribution (Woody) wurde dieses Problem in Version 2.21b-11.3 behoben.

Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 2.23beta1-3sarge1 behoben.

Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 2.23beta1-4 behoben.

Wir empfehlen Ihnen, Ihr thttpd-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:: http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.21b-11.3.dsc; http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.21b-11.3.diff.gz; http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.21b.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.21b-11.3_alpha.deb; http://security.debian.org/pool/updates/main/t/thttpd/thttpd-util_2.21b-11.3_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.21b-11.3_arm.deb; http://security.debian.org/pool/updates/main/t/thttpd/thttpd-util_2.21b-11.3_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.21b-11.3_i386.deb; http://security.debian.org/pool/updates/main/t/thttpd/thttpd-util_2.21b-11.3_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.21b-11.3_ia64.deb; http://security.debian.org/pool/updates/main/t/thttpd/thttpd-util_2.21b-11.3_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.21b-11.3_hppa.deb; http://security.debian.org/pool/updates/main/t/thttpd/thttpd-util_2.21b-11.3_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.21b-11.3_m68k.deb; http://security.debian.org/pool/updates/main/t/thttpd/thttpd-util_2.21b-11.3_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.21b-11.3_mips.deb; http://security.debian.org/pool/updates/main/t/thttpd/thttpd-util_2.21b-11.3_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.21b-11.3_mipsel.deb; http://security.debian.org/pool/updates/main/t/thttpd/thttpd-util_2.21b-11.3_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.21b-11.3_powerpc.deb; http://security.debian.org/pool/updates/main/t/thttpd/thttpd-util_2.21b-11.3_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.21b-11.3_s390.deb; http://security.debian.org/pool/updates/main/t/thttpd/thttpd-util_2.21b-11.3_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.21b-11.3_sparc.deb; http://security.debian.org/pool/updates/main/t/thttpd/thttpd-util_2.21b-11.3_sparc.deb

Debian GNU/Linux 3.1 (sarge)

Quellcode:: http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.23beta1-3sarge1.dsc; http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.23beta1-3sarge1.diff.gz; http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.23beta1.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.23beta1-3sarge1_alpha.deb; http://security.debian.org/pool/updates/main/t/thttpd/thttpd-util_2.23beta1-3sarge1_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.23beta1-3sarge1_amd64.deb; http://security.debian.org/pool/updates/main/t/thttpd/thttpd-util_2.23beta1-3sarge1_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.23beta1-3sarge1_arm.deb; http://security.debian.org/pool/updates/main/t/thttpd/thttpd-util_2.23beta1-3sarge1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.23beta1-3sarge1_i386.deb; http://security.debian.org/pool/updates/main/t/thttpd/thttpd-util_2.23beta1-3sarge1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.23beta1-3sarge1_ia64.deb; http://security.debian.org/pool/updates/main/t/thttpd/thttpd-util_2.23beta1-3sarge1_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.23beta1-3sarge1_hppa.deb; http://security.debian.org/pool/updates/main/t/thttpd/thttpd-util_2.23beta1-3sarge1_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.23beta1-3sarge1_m68k.deb; http://security.debian.org/pool/updates/main/t/thttpd/thttpd-util_2.23beta1-3sarge1_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.23beta1-3sarge1_mips.deb; http://security.debian.org/pool/updates/main/t/thttpd/thttpd-util_2.23beta1-3sarge1_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.23beta1-3sarge1_mipsel.deb; http://security.debian.org/pool/updates/main/t/thttpd/thttpd-util_2.23beta1-3sarge1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.23beta1-3sarge1_powerpc.deb; http://security.debian.org/pool/updates/main/t/thttpd/thttpd-util_2.23beta1-3sarge1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.23beta1-3sarge1_s390.deb; http://security.debian.org/pool/updates/main/t/thttpd/thttpd-util_2.23beta1-3sarge1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/t/thttpd/thttpd_2.23beta1-3sarge1_sparc.deb; http://security.debian.org/pool/updates/main/t/thttpd/thttpd-util_2.23beta1-3sarge1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.