-------------------------------------------------------------------------- Aviso de seguridad de Debian DSA 787-1 security@debian.org http://www.debian.org/security/ Martin Schulze 26 de agosto de 2005 http://www.debian.org/security/faq -------------------------------------------------------------------------- Paquete : backup manager Vulnerabilidad : permisos y archivo temporal inseguro Ámbito : local Sólo en Debian : no Id. de CVE : CAN-2005-1855 CAN-2005-1856 Error Debian : 308897 315582 Se han descubierto dos errores en backup-manager, una utilidad para hacer copias de seguridad desde la línea de órdenes. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas: CAN-2005-1855 Jeroen Vermeulen descubrió que los archivos de respaldo se creaban con los permisos predefinidos, legibles para todos, incluso aunque tuviesen información sensible. CAN-2005-1856 Sven Joachim descubrió que la característica opcional de grabación de CD del gestor de copias de seguridad utilizaba para ingresar un nombre de archivo de un directorio en el que podían escribir todos. Por tanto, era factible un ataque de enlaces simbólicos. La distribución estable anterior (woody) no proporciona el paquete backup-manager. Para la distribución estable (sarge), estos problemas se han corregido en la versión 0.5.7-1sarge1. Para la distribución inestable (sid), estos problemas se han corregido en la versión 0.5.8-2. Le recomendamos que actualice el paquete backup-manager. Instrucciones de actualización ------------------------------ wget url obtiene el archivo. dpkg -i archivo.deb instala el archivo indicado. Si va a usar el gestor de paquetes apt-get, emplee la línea para sources.list que se proporciona al final: apt-get update actualiza la base de datos interna apt-get upgrade instala los paquetes corregidos Puede usar una actualización automatizada, añadiendo los recursos del pie para la configuración adecuada. Debian GNU/Linux 3.1 alias sarge -------------------------------- Archivos con el código fuente: http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7-1sarge1.dsc Tamaño y suma MD5: 631 6b20ee3cd0439df2e95819d5001f7e53 http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7-1sarge1.diff.gz Tamaño y suma MD5: 17938 a6f1ae5f8555c17c9db3a0fc2ba9ec7a http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7.orig.tar.gz Tamaño y suma MD5: 35661 a97a66d03c4a05072924998f48f7b5d6 Componentes independientes de la arquitectura: http://security.debian.org/pool/updates/main/b/backup-manager/backup-manager_0.5.7-1sarge1_all.deb Tamaño y suma MD5: 30550 3bbe99ebf51f69ca80a93e19a64880ac Estos archivos probablemente se pasen a la distribución estable en la próxima actualización. --------------------------------------------------------------------- Para apt-get: deb http://security.debian.org/ stable/updates main Para dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main Lista de correo: debian-security-announce@lists.debian.org Info paquete: 'apt-cache show <paquete>' y http://packages.debian.org/<paquete> -- Juan Manuel Garcia Molina Debian GNU/Linux Developer juanma@debian.org http://www.debian.org
Attachment:
pgpW14idIYUuV.pgp
Description: PGP signature