Aviso de seguridad de Debian

DSA-544-1 webmin -- directorio temoral inseguro

Fecha del informe:

14 de sep de 2004

Paquetes afectados:

webmin

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2004-0559.

Información adicional:

Ludwig Nussel descubrió un problema en webmin, un conjunto de herramientas de administración basadas en web. Se usaba un directorio temporal sin comprobar el propietario anterior. Esto podía permitir que un atacante creara el directorio y pusiera dentro de él enlaces simbólicos peligrosos.

Para la distribución estable (woody), este problema se ha corregido en la versión 0.94-7woody3.

Para la distribución inestable (sid), este problema se ha corregido en la versión 1.160-1 de webmin y en la versión 1.090-1 of usermin.

Le recomendamos que actualice los paquetes de webmin

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:: http://security.debian.org/pool/updates/main/w/webmin/webmin_0.94-7woody3.dsc; http://security.debian.org/pool/updates/main/w/webmin/webmin_0.94-7woody3.diff.gz; http://security.debian.org/pool/updates/main/w/webmin/webmin_0.94.orig.tar.gz
Componentes independientes de la arquitectura:: http://security.debian.org/pool/updates/main/w/webmin/webmin-apache_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-bind8_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-burner_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-cluster-software_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-cluster-useradmin_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-core_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-cpan_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-dhcpd_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-exports_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-fetchmail_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-heartbeat_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-inetd_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-jabber_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-lpadmin_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-mon_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-mysql_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-nis_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-postfix_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-postgresql_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-ppp_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-qmailadmin_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-quota_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-raid_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-samba_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-sendmail_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-software_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-squid_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-sshd_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-ssl_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-status_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-stunnel_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-wuftpd_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin-xinetd_0.94-7woody3_all.deb; http://security.debian.org/pool/updates/main/w/webmin/webmin_0.94-7woody3_all.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/w/webmin/webmin-grub_0.94-7woody3_i386.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.