Debian セキュリティ勧告

DSA-292-3 mime-support -- 安全でない一時ファイルの作成

報告日時:
2003-04-22
影響を受けるパッケージ:
mime-support
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2003-0214.
詳細:

Colin Phipps さんは、複数の問題を mime-support に発見しました。mime-support は MIME コントロールファイル 'mime.types' と 'mailcap' のサポートをするプログラムを含んでいます。 一時ファイルが使われる際に安全ではない方法で作成されており、攻撃者が run-mailcap を実行しているユーザ ID で、任意のファイルを上書きする可能性があります。

run-mailcap が潜在的に問題がある名前がつけられたファイルに対して実行される際、 一時ファイルが作成され (この時点では全く安全です)、削除され、 このファイル名へのシンボリックリンクが作成されます。攻撃者は、 シンボリックリンクが作成される前にファイルを再作成し、 表示プログラムに違った内容を強制的に表示させることが可能です。

安定版ディストリビューション (stable、コードネーム woody) では、これらの問題はバージョン 3.18-1.3 で修正されています。

以前の安定版ディストリビューション (コードネーム potato) では、これらの問題はバージョン 3.9-1.3 で修正されています。

不安定版ディストリビューション (unstable、コードネーム sid) では、これらの問題はバージョン 3.23-1 で修正されています。

mime-support パッケージのアップグレードをお勧めします。

修正:

Debian GNU/Linux 2.2 (potato)

ソース:
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3.dsc
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3_all.deb

Debian GNU/Linux 3.0 (woody)

ソース:
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3.dsc
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。

一覧にあるファイルの MD5 チェックサムは勧告の原文 (改訂版) にあります。

一覧にあるファイルの MD5 チェックサムは勧告の原文 (改訂版) にあります。