Säkerhetsbulletin från Debian

DSA-292-3 mime-support -- osäkert skapande av temporära filer

Rapporterat den:

2003-04-22

Berörda paket:

mime-support

Sårbara:

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2003-0214.

Ytterligare information:

Colin Phipps upptäckte flera problem i mime-support, vilket innehåller stödprogram för MIME-styrfilerna ”mime.types” och ”mailcap”. När en temporär fil skall användas skapas den på ett osäkert sätt, vilket gör det möjligt för en angripare att skriva över godtyckliga filer under det användar-id som kör run-mailcap.

När run-mailcap exekveras på en fil med ett filnamn som möjligen kan vara problematiskt skapas en temporär fil (inte längre osäkert), vilken sedan tas bort och så skapas en symbolisk länk till detta filnamn. En angripare kunde återskapa filen innan den symboliska länken skapades, vilket kunde tvinga visarprogrammet att visa andra data.

För den stabila utgåvan (Woody) har dessa problem rättats i version 3.18-1.3.

För den gamla stabila utgåvan (Potato) har dessa problem rättats i version 3.9-1.3.

För den instabila utgåvan (Sid) har dessa problem rättats i version 3.23-1.

Vi rekommenderar att ni uppgraderar era mime-support-paket.

Rättat i:

Debian GNU/Linux 2.2 (potato)

Källkod:: http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3.dsc; http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3.tar.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3_all.deb

Debian GNU/Linux 3.0 (woody)

Källkod:: http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3.dsc; http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3.tar.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.

MD5-kontrollsummor för dessa filer finns i reviderade bulletinen.