Bulletin d'alerte Debian

DSA-292-3 mime-support -- Création non sécurisée de fichiers temporaires

Date du rapport :
22 avril 2003
Paquets concernés :
mime-support
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2003-0214.
Plus de précisions :

Colin Phipps a découvert plusieurs problèmes dans mime-support, qui contient les programmes offrant les fonctionnalités pour le contrôle de fichiers MIME comme mime.types et mailcap. Quand un fichier temporaire doit être utilisé, il est créé de manière non sécurisée, permettant à un attaquant d'écraser n'importe quel fichier avec l'identité de l'utilisateur utilisant run-mailcap.

Lorsque run-mailcap est exécuté sur un fichier avec un nom de fichier potentiellement problématique, un fichier temporaire est créé (qui n'est plus insécurisé), enlevé, puis un lien symbolique vers ce nom de fichier est créé. Un assaillant pourrait recréer le fichier que le lien symbolique ne soit créé, forçant ainsi le programme d'affichage à afficher différents contenus.

Pour la distribution stable (Woody), ces problèmes ont été corrigés dans la version 3.18-1.3.

Pour l'ancienne distribution stable (Potato), ces problèmes ont été corrigés dans version 3.9-1.3.

Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 3.23-1.

Nous vous recommandons de mettre à jour vos paquets mime-support.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3.dsc
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3_all.deb

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3.dsc
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.

Les sommes MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.

Les sommes MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.