Aviso de seguridad de Debian
mirror -- Gestión de nombres de directorios incorrecta en
mirror
- Fecha del informe:
- 18 de oct de 1999
- Paquetes afectados:
-
mirror
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2000-0354.
- Información adicional:
-
Nos han informado de que la versión de mirror distribuída en Debian GNU/Linux
2.1 podía ser explotada remotamente. Cuando se replica un sitio remoto, su
malvado propietario podía usar construcciones de nombres de archivos como
".." que podían causar que la réplica funcionara un nivel por encima
del directorio destino de los archivos replicados y por tanto, que
sobreescribiera datos locales.
- Arreglado en:
-
- Fuentes:
- http://security.debian.org/dists/slink/updates/source/mirror_2.9-2.1.diff.gz
- http://security.debian.org/dists/slink/updates/source/mirror_2.9-2.1.dsc
- http://security.debian.org/dists/slink/updates/source/mirror_2.9.orig.tar.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/dists/stable/updates/binary-all/mirror_2.9-2.1_all.deb
