Debian-Sicherheitsankündigung
mirror -- Inkorrekte Verzeichnisnamen-Handhabung in mirror
- Datum des Berichts:
- 18. Okt 1999
- Betroffene Pakete:
- mirror
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2000-0354.
- Weitere Informationen:
-
Wir haben Berichte erhalten, dass Versionen von mirror, wie sie von Debian GNU/Linux 2.1 verteilt werden, aus der Ferne ausgenutzt werden. Wenn eine entfernte Maschine gespiegelt wird, kann ein böswilliger Eigentümer Dateinamenkonstrukte wie »..« verwenden, die mirror dazu brachten, eine Ebene über dem Zielverzeichnis der zu spiegelnden Dateien zu arbeiten und dabei unwissenderweise lokale Daten zu überschreiben.
- Behoben in:
-
- Quellcode:
- http://security.debian.org/dists/slink/updates/source/mirror_2.9-2.1.diff.gz
- http://security.debian.org/dists/slink/updates/source/mirror_2.9-2.1.dsc
- http://security.debian.org/dists/slink/updates/source/mirror_2.9.orig.tar.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/dists/stable/updates/binary-all/mirror_2.9-2.1_all.deb