Aviso de seguridad de Debian

DSA-843-1 arc -- archivo temporal inseguro

Fecha del informe:

5 de oct de 2005

Paquetes afectados:

arc

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2005-2945, CVE-2005-2992.

Información adicional:

Se han descubierto dos vulnerabilidades en el programa para archivar ARC bajo Unix. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:

CAN-2005-2945
Eric Romang descubrió que el programa para archivar ARC bajo Unix creaba un archivo temporal con prmisos inseguros, lo que podría llevar a que un atacante robase información sensible.
CAN-2005-2992
Joey Schulze descubrió que el archivo temporal también se creaba de una forma insegura, dejando la puerta abierta para un ataque clásico de enlaces simbólicos.

La distribución estable anterior (woody) no contiene los paquetes de arc.

Para la distribución estable (sarge) estos problemas se han corregido en la versión 5.21l-1sarge1.

Para la distribución inestable (sid) estos problemas se han corregido en la versión 5.21m-1.

Le recomendamos que actualice el paquete arc.

Arreglado en:

Debian GNU/Linux 3.1 (sarge)

Fuentes:: http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1.dsc; http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1.diff.gz; http://security.debian.org/pool/updates/main/a/arc/arc_5.21l.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/a/arc/arc_5.21l-1sarge1_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.