Säkerhetsbulletin från Debian

mirror -- Felaktig hantering av katalognamn i mirror

Rapporterat den:
1999-10-18
Berörda paket:
mirror
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2000-0354.
Ytterligare information:
Vi har fått rapporter om att den version av mirror som medföljer Debian GNU/Linux 2.1 kan vara sårbar för en attack utifrån. När du speglar en fjärrserver kunde dess illvillige ägare använda filnamnskonstruktioner på formen "..", vilket skulle kunna få spegeln att börja arbeta en katalognivå ovanför spegelns målkatalog, och därmed ovetandes skriva över lokal data.
Rättat i:
Källkod:
http://security.debian.org/dists/slink/updates/source/mirror_2.9-2.1.diff.gz
http://security.debian.org/dists/slink/updates/source/mirror_2.9-2.1.dsc
http://security.debian.org/dists/slink/updates/source/mirror_2.9.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/dists/stable/updates/binary-all/mirror_2.9-2.1_all.deb