--------------------------------------------------------------------------
Aviso de seguridad de Debian DSA 835-1 security@debian.org
http://www.debian.org/security/ Martin Schulze
1 de octubre de 2005 http://www.debian.org/security/faq
--------------------------------------------------------------------------
Paquete : cfengine
Vulnerabilidad : archivos temporales inseguros
Ámbito : local
Sólo en Debian : no
Id. de CVE : CAN-2005-2960
Javier Fernández-Sanguino Peña descubrió varios usos de archivos
temporales inseguros en cfengine, una herramienta para configurar y
mantener máquinas conectadas en red, de los que se podía sacar provecho
haciendo ataques de enlaces simbólicos para sobreescribir archivos
arbitrarios propiedad del usuario que estuviese ejecutando cfengine, que
probablemente fuese root.
Para la distribución estable anterior (woody) estos problemas se han
corregido en la versión 1.6.3-9woody1.
Para la distribución estable (sarge) estos problemas se han corregido en
la versión 1.6.5-1sarge1.
Para la distribución inestable (sid) estos problemas se corregirán
pronto.
Le recomendamos que actualice el paquete cfengine.
Instrucciones de actualización
------------------------------
wget url
obtiene el archivo.
dpkg -i archivo.deb
instala el archivo indicado.
Si va a usar el gestor de paquetes apt-get, emplee la línea
para sources.list que se proporciona al final del aviso:
apt-get update
actualiza la base de datos interna
apt-get upgrade
instala los paquetes corregidos
Puede usar una actualización automatizada, añadiendo los
recursos del final del aviso para la configuración adecuada.
Debian GNU/Linux 3.0 alias woody
--------------------------------
Archivos con el código fuente:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.3-9woody1.dsc
Tamaño y suma MD5: 697 bb2e5be7b89c57f6c4cf1e3738ecd922
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.3-9woody1.diff.gz
Tamaño y suma MD5: 38077 1ae76d1eb77ebd60a3333c062a1a7c31
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.3.orig.tar.gz
Tamaño y suma MD5: 867415 19079eafbee44e3d39308c086d4b539b
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine-doc_1.6.3-9woody1_all.deb
Tamaño y suma MD5: 355562 ca9a13fab7548459c6084dc69d426aec
Arquitectura Alpha:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.3-9woody1_alpha.deb
Tamaño y suma MD5: 405720 7b6364578e2eba666365e77e32507c4b
Arquitectura ARM:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.3-9woody1_arm.deb
Tamaño y suma MD5: 339210 aa977174967f661d2f212f3433bf6788
Arquitectura Intel IA-32:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.3-9woody1_i386.deb
Tamaño y suma MD5: 303270 a64338d36f68b7935cfc5989c850cd5e
Arquitectura Intel IA-64:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.3-9woody1_ia64.deb
Tamaño y suma MD5: 493172 41bcf6762cf4837c8709be21cff9eb7f
Arquitectura HP Precision:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.3-9woody1_hppa.deb
Tamaño y suma MD5: 386724 e9442e863083edcb1e487a6c5fe93352
Arquitectura Motorola 680x0:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.3-9woody1_m68k.deb
Tamaño y suma MD5: 281060 d948916061d5e8efb533e3b77b77a0ab
Arquitectura Big endian MIPS:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.3-9woody1_mips.deb
Tamaño y suma MD5: 363318 0bc37a72bb1f08f35a2b579484ffb573
Arquitectura Little endian MIPS:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.3-9woody1_mipsel.deb
Tamaño y suma MD5: 361536 c2b6aa55d276d9b6ac74e78b8117f58c
Arquitectura PowerPC:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.3-9woody1_powerpc.deb
Tamaño y suma MD5: 340640 d54511ed3ad4994ae81fa8f5d94bddd2
Arquitectura IBM S/390:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.3-9woody1_s390.deb
Tamaño y suma MD5: 320202 4bfb085818e449b6a6a294d842fd93ce
Arquitectura Sun Sparc:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.3-9woody1_sparc.deb
Tamaño y suma MD5: 348898 1a5bee66a3136dd0c7c81e389ea6d02c
Debian GNU/Linux 3.1 alias sarge
--------------------------------
Archivos con el código fuente:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5-1sarge1.dsc
Tamaño y suma MD5: 688 0c5710c1edf3c6fdd6823d6db891d299
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5-1sarge1.diff.gz
Tamaño y suma MD5: 102832 8a282e6d4dde8c710e02a544967c5fe6
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5.orig.tar.gz
Tamaño y suma MD5: 880066 fc02d8d56433f32020c3030192cad66e
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine-doc_1.6.5-1sarge1_all.deb
Tamaño y suma MD5: 385994 1081dd615fdd1cd5682599b5253936ba
Arquitectura Alpha:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5-1sarge1_alpha.deb
Tamaño y suma MD5: 420810 2402bacaa76d7763c27589c85a399605
Arquitectura AMD64:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5-1sarge1_amd64.deb
Tamaño y suma MD5: 353842 953d1eb46f2cce0aedfb78e5f988cc53
Arquitectura ARM:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5-1sarge1_arm.deb
Tamaño y suma MD5: 340160 83ed417663d90df0727a6a8c2606d11b
Arquitectura Intel IA-32:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5-1sarge1_i386.deb
Tamaño y suma MD5: 323384 18459b30d0c2c5044e6922abde4425ea
Arquitectura Intel IA-64:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5-1sarge1_ia64.deb
Tamaño y suma MD5: 488116 f7a1c07bf59ba6163a82fed6a27666c1
Arquitectura HP Precision:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5-1sarge1_hppa.deb
Tamaño y suma MD5: 373982 778d47c9a7bba6a52c34580e2885a4f0
Arquitectura Motorola 680x0:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5-1sarge1_m68k.deb
Tamaño y suma MD5: 289354 a8c67ffa26a9453959be270dd6109a36
Arquitectura Big endian MIPS:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5-1sarge1_mips.deb
Tamaño y suma MD5: 366596 5978436e06a6fb7ad82d7f9860d02614
Arquitectura Little endian MIPS:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5-1sarge1_mipsel.deb
Tamaño y suma MD5: 365032 4914663ccd6d58abfac5ae149c2b75cb
Arquitectura PowerPC:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5-1sarge1_powerpc.deb
Tamaño y suma MD5: 356614 a98b9bb1a97577472f350ae0f22bf37f
Arquitectura IBM S/390:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5-1sarge1_s390.deb
Tamaño y suma MD5: 346324 33ac8dfdaa2fcb7ddccf258f901b8531
Arquitectura Sun Sparc:
http://security.debian.org/pool/updates/main/c/cfengine/cfengine_1.6.5-1sarge1_sparc.deb
Tamaño y suma MD5: 338540 21169b41e6976910873d642a7acef495
Estos archivos probablemente se pasen a la distribución estable en
su próxima revisión.
---------------------------------------------------------------------
Para apt-get:
deb http://security.debian.org/ stable/updates main
Para dpkg-ftp:
ftp://security.debian.org/debian-security dists/stable/updates/main
Lista de correo:
debian-security-announce@lists.debian.org
Información del paquete:
'apt-cache show <paquete>' y http://packages.debian.org/<paquete>
--
Juan Manuel Garcia Molina
Debian GNU/Linux Developer
juanma@debian.org http://www.debian.org
Attachment:
pgpzP2yAyfxPr.pgp
Description: PGP signature