--------------------------------------------------------------------------
Aviso de seguridad de Debian DSA 787-1 security@debian.org
http://www.debian.org/security/ Martin Schulze
26 de agosto de 2005 http://www.debian.org/security/faq
--------------------------------------------------------------------------
Paquete : backup manager
Vulnerabilidad : permisos y archivo temporal inseguro
Ámbito : local
Sólo en Debian : no
Id. de CVE : CAN-2005-1855 CAN-2005-1856
Error Debian : 308897 315582
Se han descubierto dos errores en backup-manager, una utilidad para hacer
copias de seguridad desde la línea de órdenes. El proyecto Common
Vulnerabilities and Exposures identifica los siguientes problemas:
CAN-2005-1855
Jeroen Vermeulen descubrió que los archivos de respaldo se creaban con
los permisos predefinidos, legibles para todos, incluso aunque tuviesen
información sensible.
CAN-2005-1856
Sven Joachim descubrió que la característica opcional de grabación de
CD del gestor de copias de seguridad utilizaba para ingresar un nombre
de archivo de un directorio en el que podían escribir todos. Por tanto,
era factible un ataque de enlaces simbólicos.
La distribución estable anterior (woody) no proporciona el paquete
backup-manager.
Para la distribución estable (sarge), estos problemas se han corregido en
la versión 0.5.7-1sarge1.
Para la distribución inestable (sid), estos problemas se han corregido en
la versión 0.5.8-2.
Le recomendamos que actualice el paquete backup-manager.
Instrucciones de actualización
------------------------------
wget url
obtiene el archivo.
dpkg -i archivo.deb
instala el archivo indicado.
Si va a usar el gestor de paquetes apt-get, emplee la línea
para sources.list que se proporciona al final:
apt-get update
actualiza la base de datos interna
apt-get upgrade
instala los paquetes corregidos
Puede usar una actualización automatizada, añadiendo los
recursos del pie para la configuración adecuada.
Debian GNU/Linux 3.1 alias sarge
--------------------------------
Archivos con el código fuente:
http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7-1sarge1.dsc
Tamaño y suma MD5: 631 6b20ee3cd0439df2e95819d5001f7e53
http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7-1sarge1.diff.gz
Tamaño y suma MD5: 17938 a6f1ae5f8555c17c9db3a0fc2ba9ec7a
http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7.orig.tar.gz
Tamaño y suma MD5: 35661 a97a66d03c4a05072924998f48f7b5d6
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7-1sarge1_all.deb
Tamaño y suma MD5: 30550 3bbe99ebf51f69ca80a93e19a64880ac
Estos archivos probablemente se pasen a la distribución estable en
la próxima actualización.
---------------------------------------------------------------------
Para apt-get:
deb http://security.debian.org/ stable/updates main
Para dpkg-ftp:
ftp://security.debian.org/debian-security dists/stable/updates/main
Lista de correo:
debian-security-announce@lists.debian.org
Info paquete:
'apt-cache show <paquete>' y http://packages.debian.org/<paquete>
--
Juan Manuel Garcia Molina
Debian GNU/Linux Developer
juanma@debian.org http://www.debian.org
Attachment:
pgpW14idIYUuV.pgp
Description: PGP signature