Debians sikkerhedsbulletin

DSA-041-1 joe -- lokalt angreb

Rapporteret den:
9. mar 2001
Berørte pakker:
joe
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 2437.
I Mitres CVE-ordbog: CVE-2001-0289.
Yderligere oplysninger:
Christer Öberg fra Wkit Security AB fandt et problem i joe (Joe's Own Editor). joe kiggede efter en opsætningsfil tre forskellige steder: i den aktuelle mappe, brugeres hjemmemappe ($HOME) og i /etc/joe. Da opsætningsfilen kan definere kommandoer, som joe kan afvikle (for eksempel stavekontrol), er det farligt at læse den fra den aktuelle mappe: En angriber kan efterlade en .joerc-fil i en skrivbar mappe, som kunne blive læst når en intetanende bruger startede joe i den mappe.

Dette er blevet rettet i version 2.8-15.3 og vi anbefaler at du omgående opgraderer din joe-pakke.

Rettet i:

Debian 2.2 (potato)

Kildekode:
http://security.debian.org/dists/stable/updates/main/source/joe_2.8-15.3.diff.gz
http://security.debian.org/dists/stable/updates/main/source/joe_2.8-15.3.dsc
http://security.debian.org/dists/stable/updates/main/source/joe_2.8.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/joe_2.8-15.3_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/joe_2.8-15.3_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/joe_2.8-15.3_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/joe_2.8-15.3_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/joe_2.8-15.3_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/joe_2.8-15.3_sparc.deb