Sécurité informatique

SECURINFOS.INFO - Veille en sécurité informatique

Debian : mise à jour pour feta

06/10/2008 10H00
Référence Secunia : SA321552008-10-06
Relativement faible. Critique Niveau 2 sur 5.
Impact : Elévation de privilèges
Lieu : Système local


Solutions :
Correctif de l'éditeur

OS :
Debian GNU/Linux 4.0
Debian GNU/Linux instable alias sid


Référence CVE :
CVE-2008-4440

Description :
Debian a réalisé une mise à jour pour feta. Cela corrige une faille de sécurité, qui pourrait être exploitée par des utilisateurs locaux malveillants pour réaliser certaines actions avec des privilèges plus élevés.

Le problème de sécurité est causé du fait que le "to-upgrade" plugin créé des fichiers temporaires d'une manière insécurisée. Cela pourrait être exploité pour par ex. sur-écrire et supprimer des fichiers arbitraires via des attaques par liens symboliques (symlink).


Solutions :
Appliquez les paquetages mis à jour.

-- Debian GNU/Linux 4.0 alias etch --

Archives sources :

http://security.debian.org/pool/updates/main/f/feta/feta_1.4.15+etch1.dsc

Taille/checksum MD5: 545 87c8cdfc722b149eefc2c4cc1e05c868
http://security.debian.org/pool/updates/main/f/feta/feta_1.4.15+etch1.tar.gz

Taille/checksum MD5: 52134 27b5bc566e7f42a5b79dd8ef67013b8d

Paquetages indépendants de l'architecture :

http://security.debian.org/pool/updates/main/f/feta/feta_1.4.15+etch1_all.deb

Taille/checksum MD5: 47708 8133fddc8dc30973c5fcb3368292b1fb

-- Debian GNU/Linux instable alias sid --

Fixé en version 1.4.16+nmu1.


Vulnérabilité découverte par :

Dmitry E. Oboukhov

Référence :
DSA-1643-1:
http://lists.debian.org/debian-security-announce/2008/msg00234.html




Veuillez noter : L'information sur laquelle est basée ce bulletin Secunia provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.