Aviso de seguridad de Debian

DSA-292-3 mime-support -- creación de archivo temporal insegura

Fecha del informe:
22 de abr de 2003
Paquetes afectados:
mime-support
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2003-0214.
Información adicional:

Colin Phipps descubrió varios problemas en mime-support, que contiene soporte MIME para programas en los archivos de control «mime.types» y «mailcap». Cuando se iba a usar un archivo temporal, se creaba de forma insegura, permitiendo a un atacante sobreescribir arbitrariamente bajo el identificador de usuario de aquél que estuviera ejecutando run-mailcap.

Cuando se ejecutaba run-mailcap sobre un archivo con un nombre potencialmente problemático, se creaba un archivo temporal (no de forma segura), se borraba y se creaba un enlace simbólico a este archivo. Un atacante podía volver a crear el archivo antes del enlace, obligando a que el programa mostrara un contenido diferente.

Para la distribución estable (woody), estos problemas se han corregido en la versión 3.18-1.3.

Para la distribución estable anterior (potato), estos problemas se han corregido en la versión 3.9-1.3.

Para la distribución inestable (sid), estos problemas se han corregido en la versión 3.23-1.

Le recomendamos que actualice los paquetes de mime-support.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3.dsc
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3.tar.gz
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3_all.deb

Debian GNU/Linux 3.0 (woody)

Fuentes:
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3.dsc
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3.tar.gz
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3_all.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso revisado.

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso revisado.