[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

DSA 836-1: Nuevos paquetes de cfengine2 corrigen sobreescritura de archivo arbitrario

--------------------------------------------------------------------------
Aviso de seguridad de Debian DSA 836-1                 security@debian.org
http://www.debian.org/security/                             Martin Schulze
1 de octubre de 2005                    http://www.debian.org/security/faq
--------------------------------------------------------------------------

Paquete        : cfengine2
Vulnerabilidad : archivos temporales inseguros
Ámbito         : local
Sólo en Debian : no
Id. de CVE     : CAN-2005-2960

Javier Fernández-Sanguino Peña descubrió varios usos de archivos
temporales inseguros en cfengine2, una herramienta para configurar y
mantener máquinas conectadas en red, de los que se podía sacar provecho
haciendo ataques de enlaces simbólicos para sobreescribir archivos
arbitrarios propiedad del usuario que estuviese ejecutando cfengine, que
probablemente fuese root.

La distribución estable anterior (woody) no se ve afectada por este
problema.

Para la distribución estable (sarge) estos problemas se han corregido en
la versión 2.1.14-1sarge1.

Para la distribución inestable (sid) estos problemas se corregirán
pronto.

Le recomendamos que actualice el paquete cfengine2.


Instrucciones de actualización
------------------------------

wget url
        obtiene el archivo.
dpkg -i archivo.deb
        instala el archivo indicado.

Si va a usar el gestor de paquetes apt-get, emplee la línea
para sources.list que se proporciona al final del aviso:

apt-get update
        actualiza la base de datos interna
apt-get upgrade
        instala los paquetes corregidos

Puede usar una actualización automatizada, añadiendo los
recursos del final del aviso para la configuración adecuada.


Debian GNU/Linux 3.1 alias sarge
--------------------------------

  Archivos con el código fuente:

    
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1.dsc
      Tamaño y suma MD5:      825 c3ee62f9ce0b5432069c59049bc0c652
    
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1.diff.gz
      Tamaño y suma MD5:    32635 ab7a8c127448eca0dce586c9ba672a85
    
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14.orig.tar.gz
      Tamaño y suma MD5:  3513765 bc60a13b6890275ba6b17a07c257cac5

  Componentes independientes de la arquitectura:

    
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2-doc_2.1.14-1sarge1_all.deb
      Tamaño y suma MD5:   510730 0f6ff1887770d9fe9070dddebdcc5edf

  Arquitectura Alpha:

    
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_alpha.deb
      Tamaño y suma MD5:   827762 5c9ced60f5d41e785a55ba7b4582a796

  Arquitectura AMD64:

    
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_amd64.deb
      Tamaño y suma MD5:   701256 b4888a6dc496aaa48b2a0fdc3715a67f

  Arquitectura ARM:

    
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_arm.deb
      Tamaño y suma MD5:   685630 a48e6708452f90c1e8d4fe993e3f4771

  Arquitectura Intel IA-32:

    
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_i386.deb
      Tamaño y suma MD5:   649868 b77b9785ac4b67f0701039b436a3244c

  Arquitectura Intel IA-64:

    
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_ia64.deb
      Tamaño y suma MD5:   984586 3defd29cd3a9d4eea73ee5b4711bd944

  Arquitectura HP Precision:

    
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_hppa.deb
      Tamaño y suma MD5:   752410 a53dea0a28cb6e55bb9c707dafe2def7

  Arquitectura Motorola 680x0:

    
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_m68k.deb
      Tamaño y suma MD5:   566602 b803dacc74b7a3a8fe0d871a994e96d8

  Arquitectura Big endian MIPS:

    
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_mips.deb
      Tamaño y suma MD5:   721626 f85c4d747912fe55625d993479f45167

  Arquitectura Little endian MIPS:

    
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_mipsel.deb
      Tamaño y suma MD5:   718708 b667ffc1a228ca13f1fd65642d5504c9

  Arquitectura PowerPC:

    
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_powerpc.deb
      Tamaño y suma MD5:   702944 63b9669606bbfc5bb97eaca5bd1f5f55

  Arquitectura IBM S/390:

    
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_s390.deb
      Tamaño y suma MD5:   683930 822f52d113e7d4798be7e5fb9e542f25

  Arquitectura Sun Sparc:

    
http://security.debian.org/pool/updates/main/c/cfengine2/cfengine2_2.1.14-1sarge1_sparc.deb
      Tamaño y suma MD5:   673916 e1cc606ccd6fb6345140839a340e4640


  Estos archivos probablemente se pasen a la distribución estable en
  su próxima revisión.


---------------------------------------------------------------------
Para apt-get:
  deb http://security.debian.org/ stable/updates main
Para dpkg-ftp:
  ftp://security.debian.org/debian-security dists/stable/updates/main
Lista de correo:
  debian-security-announce@lists.debian.org
Información del paquete:
  'apt-cache show <paquete>' y http://packages.debian.org/<paquete>

-- 
        Juan Manuel  Garcia Molina
        Debian GNU/Linux Developer
juanma@debian.org     http://www.debian.org

Attachment: pgp0Wp51yJgoO.pgp
Description: PGP signature

Reply to: