Debianin tietoturvatiedote

DSA-292-3 mime-support -- epäluotettava väliaikaistiedoston luonti

Ilmoitettu:
22. 4.2003
Vaikutuksen alaiset paketit:
mime-support
Altis:
Kyllä
Viittaukset tietoturvatietokantoihin:
Mitren CVE-sanakirjassa: CVE-2003-0214.
Lisätietoa:

Colin Phipps havaitsi mime-support-paketissa, joka sisältää MIME-hallintatiedostojen "mime.types" ja "mailcap" tukiohjelmat, useita ongelmia. Kun väliaikaistiedostoa käytetään, se luodaan epäluotettavalla tavalla, antaen hyökkääjälle mahdollisuuden ylikirjoittaa mielivaltaisia tiedostoja sen käyttäjän oikeuksilla jolla run-mailcap ajetaan.

Ajettaessa run-mailcap tiedostolle, jolla on mahdollisesti ongelmallinen tiedostonimi, luodaan väliaikaistiedosto (ei enää epäluotettavasti), joka sittemmin poistetaan ja tähän tiedostonimeen luodaan symbolinen linkki. Hyökkääjä pystyy luomaan tiedoston uudelleen ennen symbolisen linkin luontia, pakottaen näyttöohjelman näyttämään eri sisällön.

Nämä ongelmat on korjattu vakaan jakelun (woody) versiossa 3.18-1.3 .

Nämä ongelmat on korjattu aiemman vakaan jakelun (potato) versiossa 3.9-1.3 .

Nämä ongelmat on korjattu epävakaan jakelun (sid) versiossa 3.23-1 .

Suosittelemme päivittämään mime-support-paketit.

Korjattu:

Debian GNU/Linux 2.2 (potato)

Lähde:
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3.dsc
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3.tar.gz
Arkkitehtuuririippumaton komponentti:
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3_all.deb

Debian GNU/Linux 3.0 (woody)

Lähde:
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3.dsc
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3.tar.gz
Arkkitehtuuririippumaton komponentti:
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3_all.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa tarkistetusta tiedotteesta.

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa tarkistetusta tiedotteesta.