Debianin tietoturvatiedote
DSA-292-3 mime-support -- epäluotettava väliaikaistiedoston luonti
- Ilmoitettu:
- 22. 4.2003
- Vaikutuksen alaiset paketit:
- mime-support
- Altis:
- Kyllä
- Viittaukset tietoturvatietokantoihin:
- Mitren CVE-sanakirjassa: CVE-2003-0214.
- Lisätietoa:
-
Colin Phipps havaitsi mime-support-paketissa, joka sisältää MIME-hallintatiedostojen "mime.types" ja "mailcap" tukiohjelmat, useita ongelmia. Kun väliaikaistiedostoa käytetään, se luodaan epäluotettavalla tavalla, antaen hyökkääjälle mahdollisuuden ylikirjoittaa mielivaltaisia tiedostoja sen käyttäjän oikeuksilla jolla run-mailcap ajetaan.
Ajettaessa run-mailcap tiedostolle, jolla on mahdollisesti ongelmallinen tiedostonimi, luodaan väliaikaistiedosto (ei enää epäluotettavasti), joka sittemmin poistetaan ja tähän tiedostonimeen luodaan symbolinen linkki. Hyökkääjä pystyy luomaan tiedoston uudelleen ennen symbolisen linkin luontia, pakottaen näyttöohjelman näyttämään eri sisällön.
Nämä ongelmat on korjattu vakaan jakelun (woody) versiossa 3.18-1.3 .
Nämä ongelmat on korjattu aiemman vakaan jakelun (potato) versiossa 3.9-1.3 .
Nämä ongelmat on korjattu epävakaan jakelun (sid) versiossa 3.23-1 .
Suosittelemme päivittämään mime-support-paketit.
- Korjattu:
-
Debian GNU/Linux 2.2 (potato)
- Lähde:
- http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3.dsc
- http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3.tar.gz
- http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3.tar.gz
- Arkkitehtuuririippumaton komponentti:
- http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3_all.deb
Debian GNU/Linux 3.0 (woody)
- Lähde:
- http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3.dsc
- http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3.tar.gz
- http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3.tar.gz
- Arkkitehtuuririippumaton komponentti:
- http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3_all.deb
Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.
Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa tarkistetusta tiedotteesta.
Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa tarkistetusta tiedotteesta.