Aviso de seguridad de Debian

mirror -- Gestión de nombres de directorios incorrecta en mirror

Fecha del informe:
18 de oct de 1999
Paquetes afectados:
mirror
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2000-0354.
Información adicional:
Nos han informado de que la versión de mirror distribuída en Debian GNU/Linux 2.1 podía ser explotada remotamente. Cuando se replica un sitio remoto, su malvado propietario podía usar construcciones de nombres de archivos como ".." que podían causar que la réplica funcionara un nivel por encima del directorio destino de los archivos replicados y por tanto, que sobreescribiera datos locales.
Arreglado en:
Fuentes:
http://security.debian.org/dists/slink/updates/source/mirror_2.9-2.1.diff.gz
http://security.debian.org/dists/slink/updates/source/mirror_2.9-2.1.dsc
http://security.debian.org/dists/slink/updates/source/mirror_2.9.orig.tar.gz
Componentes independientes de la arquitectura:
http://security.debian.org/dists/stable/updates/binary-all/mirror_2.9-2.1_all.deb