Рекомендация Debian по безопасности

DSA-292-3 mime-support -- создание небезопасных временных файлов

Дата сообщения:
22.04.2003
Затронутые пакеты:
mime-support
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2003-0214.
Более подробная информация:

Колин Фиппс (Colin Phipps) обнаружил несколько проблем в пакете mime-support, содержащем программы поддержки управляющих файлов MIME 'mime.types' и 'mailcap'. Когда необходимо использовать временные файлы, они создаются небезопасным образом, позволяя нападающему переписать произвольные файлы от имени пользователя, запустившего run-mailcap.

При обработке run-mailcap файла с потенциально уязвимым именем, временный файл создаётся (пока ещё безопасным образом), затем удаляется и создаётся символическая ссылка на файл с этим именем. Нападающий может заново создать файл перед созданием символической ссылки, заставляя программу вывода отображать различную информацию.

В стабильном дистрибутиве (woody) эти проблемы исправлены в версии 3.18-1.3.

В старом стабильном дистрибутиве (potato) эти проблемы исправлены в версии 3.9-1.3.

В нестабильном дистрибутиве (sid) эти проблемы исправлены в версии 3.23-1.

Мы рекомендуем вам обновить пакеты mime-support.

Исправлено в:

Debian GNU/Linux 2.2 (potato)

Исходный код:
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3.dsc
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3_all.deb

Debian GNU/Linux 3.0 (woody)

Исходный код:
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3.dsc
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.

Контрольные суммы MD5 этих файлов доступны в пересмотренном сообщении.

Контрольные суммы MD5 этих файлов доступны в пересмотренном сообщении.