-------------------------------------------------------------------------- Alerta de Segurança Debian DSA 279-1 security@debian.org http://www.debian.org/security/ Martin Schulze 07 de abril de 2003 http://www.debian.org/security/faq -------------------------------------------------------------------------- Pacote : metrics Vulnerabilidade : criação insegura de arquivos temporários Tipo de Problema : local Específico ao Debian : não Id CVE : CAN-2003-0202 Paul Szabo e Matt Zimmerman descobriram dois problemas similares no metrics, uma ferramenta para medição de software. Dois scripts deste pacote, "halstead" e "gather_stats", abrem arquivos temporários sem tomar as devidas precauções de segurança. O script "halstead" é instalado como um programa de usuário, enquanto o "gather_stats" é usado somente como script auxiliar, incluido no código fonte. Essas vulnerabilidades podem permitir que um atacante local sobreescreva os arquivos que pertencem ao usuário que está executando os scripts, incluindo o root. A atual distribuição estável (woody) não é afetada, uma vez que não contém pacotes metrics mais. Na antiga distribuição estável (potato), este problema foi corrigido na versão 1.0-1.1. A distribuição instável (sid) não é afetada, uma vez que não contém pacotes metrics mais. Nós recomendamos que você atualize seu pacote metrics. -------------------------------------------------------------------------- Essa é uma tradução do DSA original, enviado para a lista debian-security-announce@lists.debian.org. Caso queira receber os alertas em inglês e minutos depois de sua publicação, inscreva-se na lista acima, através do endereço: http://www.debian.org/MailingLists/subscribe#debian-security-announce --------------------------------------------------------------------------
Attachment:
pgpLjK6Y0nymp.pgp
Description: PGP signature