Alerta de Segurança Debian

DSA-292-3 mime-support -- criação insegura de arquivos temporários

Data do Alerta:
22 Abr 2003
Pacotes Afetados:
mime-support
Vulnerável:
Sim
Referência à base de dados de segurança:
No dicionário CVE do Mitre: CVE-2003-0214.
Informações adicionais:

Colin Phipps descobriu vários problemas no mime-support, que contem programas que oferecem suporte para arquivos 'mime.types' e 'mailcap' para controle de MIME. Quando um arquivo temporário está para ser usado, ele é criado de forma insegura, permitindo que um atacante reescreva arbitrariamente sob o id da pessoa que está executando o run-mailcap. Além disso os programas não deixam sair caracteres de escape do shell quando executam um comando. Apesar de não ser razoável explorar essa falha.

Quando o run-mailcap é executado em um arquivo com um nome potencialmente problemático, um arquivo temporário é criado (agora não inseguramente), removido e um link simbólico para este arquivo é criado. Um atacante pode recriar o arquivo antes do link simbólico ser criado, forçando o programa a exibir um conteúdo diferente.

Para a distribuição estável (woody) esses problemas foram corrigidos na versão 3.18-1.3.

Para a antiga distribuição estável (potato) esses problemas foram corrigidos na versão 3.9-1.3.

Para a antiga distribuição estável (sid) esses problemas foram corrigidos na versão 3.23-1.

Nós recomendamos que você atualize seus pacote mime-support.

Corrigido em:

Debian GNU/Linux 2.2 (potato)

Fonte:
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3.dsc
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3.tar.gz
Componente independente de arquitetura:
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3_all.deb

Debian GNU/Linux 3.0 (woody)

Fonte:
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3.dsc
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3.tar.gz
Componente independente de arquitetura:
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3_all.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.

Checksums MD5 dos arquivos listados estão disponíveis no alerta revisado.

Checksums MD5 dos arquivos listados estão disponíveis no alerta revisado.