Debian-Sicherheitsankündigung

mirror -- Inkorrekte Verzeichnisnamen-Handhabung in mirror

Datum des Berichts:
18. Okt 1999
Betroffene Pakete:
mirror
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2000-0354.
Weitere Informationen:

Wir haben Berichte erhalten, dass Versionen von mirror, wie sie von Debian GNU/Linux 2.1 verteilt werden, aus der Ferne ausgenutzt werden. Wenn eine entfernte Maschine gespiegelt wird, kann ein böswilliger Eigentümer Dateinamenkonstrukte wie »..« verwenden, die mirror dazu brachten, eine Ebene über dem Zielverzeichnis der zu spiegelnden Dateien zu arbeiten und dabei unwissenderweise lokale Daten zu überschreiben.

Behoben in:
Quellcode:
http://security.debian.org/dists/slink/updates/source/mirror_2.9-2.1.diff.gz
http://security.debian.org/dists/slink/updates/source/mirror_2.9-2.1.dsc
http://security.debian.org/dists/slink/updates/source/mirror_2.9.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/dists/stable/updates/binary-all/mirror_2.9-2.1_all.deb