Debian-Sicherheitsankündigung

DSA-846-1 cpio -- Mehrere Verwundbarkeiten

Datum des Berichts:

07. Okt 2005

Betroffene Pakete:

cpio

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In der Debian-Fehlerdatenbank: Fehler 306693, Fehler 305372.
In Mitres CVE-Verzeichnis: CVE-2005-1111, CVE-2005-1229.

Weitere Informationen:

Zwei Verwundbarkeiten wurden in cpio entdeckt, einem Programm zur Verwaltung von Dateiarchiven. Das Common Vulnerabilities and Exposures project identifiziert die folgenden Probleme:

CAN-2005-1111
Imran Ghory entdeckte eine Race-Condition beim Setzen der Dateirechte von Dateien, die aus cpio-Archiven entpackt werden. Ein lokaler Angreifer mit Schreibzugriff auf das Zielverzeichnis kann dies ausnutzen, um die Rechte von beliebigen Dateien zu ändern, für die der Benutzer Schreibrechte hat, der die Dateien entpackt.
CAN-2005-1229
Imran Ghory entdeckte, dass cpio den Pfad von entpackten Dateien nicht entschärft, selbst dann nicht, wenn die Option --no-absolute-filenames angegeben wird. Dies kann ausgenutzt werden, um Dateien an beliebigen Orten zu installieren, für die der entpackende Benutzer Schreibrechte besitzt.

Für die alte Stable-Distribution (Woody) wurden diese Probleme in Version 2.4.2-39woody2 behoben.

Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 2.5-1.3 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 2.6-6 behoben.

Wir empfehlen Ihnen, Ihr cpio-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2.dsc; http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2.diff.gz; http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.4.2-39woody2_sparc.deb

Debian GNU/Linux 3.1 (sarge)

Quellcode:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3.dsc; http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3.diff.gz; http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/c/cpio/cpio_2.5-1.3_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.