Aviso de seguridad de Debian

DSA-041-1 joe -- explotación local

Fecha del informe:

9 de mar de 2001

Paquetes afectados:

joe

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 2437.
En el diccionario CVE de Mitre: CVE-2001-0289.

Información adicional:

Christer Öberg de Wkit Security AB encontró un problema en joe (Joe's Own Editor - El propio editor de Joe). joe buscará un archivo de configuración en tres ubicaciones: El directorio actual, el directorio del usuario ($HOME) y en /etc/joe. Ya que el archivo de configuración puede definir comandos, si joe los ejecuta (por ejemplo, para la verificación ortográfica) leyéndolos del directorio actual puede ser peligroso: Un atacante puede dejar un archivo .joerc en un directorio escribible, que puede ser leído cuando un usuario no sospechoso inicie joe en ese directorio.

Esto ha sido arreglado en la versión 2.8-15.3 y le recomendamos que actualice su paquete joe inmediatamente.

Arreglado en:

Debian 2.2 (potato)

Fuentes:: http://security.debian.org/dists/stable/updates/main/source/joe_2.8-15.3.diff.gz; http://security.debian.org/dists/stable/updates/main/source/joe_2.8-15.3.dsc; http://security.debian.org/dists/stable/updates/main/source/joe_2.8.orig.tar.gz
alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/joe_2.8-15.3_alpha.deb
arm:: http://security.debian.org/dists/stable/updates/main/binary-arm/joe_2.8-15.3_arm.deb
i386:: http://security.debian.org/dists/stable/updates/main/binary-i386/joe_2.8-15.3_i386.deb
m68k:: http://security.debian.org/dists/stable/updates/main/binary-m68k/joe_2.8-15.3_m68k.deb
powerpc:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/joe_2.8-15.3_powerpc.deb
sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/joe_2.8-15.3_sparc.deb