Рекомендация Debian по безопасности
DSA-292-3 mime-support -- создание небезопасных временных файлов
- Дата сообщения:
- 22.04.2003
- Затронутые пакеты:
- mime-support
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2003-0214.
- Более подробная информация:
-
Колин Фиппс (Colin Phipps) обнаружил несколько проблем в пакете mime-support, содержащем программы поддержки управляющих файлов MIME 'mime.types' и 'mailcap'. Когда необходимо использовать временные файлы, они создаются небезопасным образом, позволяя нападающему переписать произвольные файлы от имени пользователя, запустившего run-mailcap.
При обработке run-mailcap файла с потенциально уязвимым именем, временный файл создаётся (пока ещё безопасным образом), затем удаляется и создаётся символическая ссылка на файл с этим именем. Нападающий может заново создать файл перед созданием символической ссылки, заставляя программу вывода отображать различную информацию.
В стабильном дистрибутиве (woody) эти проблемы исправлены в версии 3.18-1.3.
В старом стабильном дистрибутиве (potato) эти проблемы исправлены в версии 3.9-1.3.
В нестабильном дистрибутиве (sid) эти проблемы исправлены в версии 3.23-1.
Мы рекомендуем вам обновить пакеты mime-support.
- Исправлено в:
-
Debian GNU/Linux 2.2 (potato)
- Исходный код:
- http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3.dsc
- http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3.tar.gz
- http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3.tar.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3_all.deb
Debian GNU/Linux 3.0 (woody)
- Исходный код:
- http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3.dsc
- http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3.tar.gz
- http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3.tar.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.
Контрольные суммы MD5 этих файлов доступны в пересмотренном сообщении.
Контрольные суммы MD5 этих файлов доступны в пересмотренном сообщении.