Debian セキュリティ勧告

DSA-1395-1 xen-utils -- 安全でない一時ファイルの作成

報告日時:

2007-10-25

影響を受けるパッケージ:

xen-utils

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 447795.
Mitre の CVE 辞書: CVE-2007-3919.

詳細:

Debian Security Audit project の Steve Kemp さんにより、XEN 管理用ツール集 xen-utils が xenman ツール内で一時ファイルを安全でない方法で用いており、任意のファイルを切り捨て可能であることが発見されました。

旧安定版 (sarge) にはこのパッケージは収録されていません。

安定版 (stable) ディストリビューション (etch) では、この問題はバージョン 3.0.3-0-4 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題は近く修正予定です。

直ぐに xen-3.0 パッケージをアップグレードすることを勧めます。

修正:

ソース:: http://security.debian.org/pool/updates/main/x/xen-3.0/xen-3.0_3.0.3-0.orig.tar.gz; http://security.debian.org/pool/updates/main/x/xen-3.0/xen-3.0_3.0.3-0-4.dsc; http://security.debian.org/pool/updates/main/x/xen-3.0/xen-3.0_3.0.3-0-4.diff.gz
アーキテクチャ非依存コンポーネント:: http://security.debian.org/pool/updates/main/x/xen-3.0/xen-docs-3.0_3.0.3-0-4_all.deb
AMD64:: http://security.debian.org/pool/updates/main/x/xen-3.0/xen-utils-3.0.3-1_3.0.3-0-4_amd64.deb; http://security.debian.org/pool/updates/main/x/xen-3.0/xen-hypervisor-3.0.3-1-amd64_3.0.3-0-4_amd64.deb; http://security.debian.org/pool/updates/main/x/xen-3.0/xen-ioemu-3.0.3-1_3.0.3-0-4_amd64.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/x/xen-3.0/xen-utils-3.0.3-1_3.0.3-0-4_i386.deb; http://security.debian.org/pool/updates/main/x/xen-3.0/xen-hypervisor-3.0.3-1-i386_3.0.3-0-4_i386.deb; http://security.debian.org/pool/updates/main/x/xen-3.0/xen-hypervisor-3.0.3-1-i386-pae_3.0.3-0-4_i386.deb; http://security.debian.org/pool/updates/main/x/xen-3.0/xen-ioemu-3.0.3-1_3.0.3-0-4_i386.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。