Debian-Sicherheitsankündigung

DSA-1531-2 policyd-weight -- Unsichere temporäre Dateien

Datum des Berichts:

27. Mär 2008

Betroffene Pakete:

policyd-weight

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2008-1569, CVE-2008-1570.

Weitere Informationen:

Chris Howells entdeckte, dass policyd-weight, ein Richtlinien-Daemon für den Postfix Mail Transport Agent, seine Sockets auf unsichere Art und Weise erzeugt, was ausgenutzt werden kann, um beliebige Dateien des lokalen Systems zu überschreiben oder zu löschen.

Für die Stable-Distribution (Etch) wurde dieses Problem in Version 0.1.14-beta-6etch2 behoben.

Die alte Stable-Distribution (Sarge) enthält policyd-weight nicht.

Für die Unstable-Distribution (Sid) wird dieses Problem bald behoben sein.

Wir empfehlen Ihnen, Ihr policyd-weight-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 4.0 (etch)

Quellcode:: http://security.debian.org/pool/updates/main/p/policyd-weight/policyd-weight_0.1.14-beta-6etch2.diff.gz; http://security.debian.org/pool/updates/main/p/policyd-weight/policyd-weight_0.1.14-beta.orig.tar.gz; http://security.debian.org/pool/updates/main/p/policyd-weight/policyd-weight_0.1.14-beta-6etch2.dsc
Architektur-unabhängige Dateien:: http://security.debian.org/pool/updates/main/p/policyd-weight/policyd-weight_0.1.14-beta-6etch2_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.