Рекомендация Debian по безопасности

mirror -- некорректная обработка имени каталога в mirror

Дата сообщения:
18.10.1999
Затронутые пакеты:
mirror
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2000-0354.
Более подробная информация:
Мы получили сообщения о том, что версия mirror, поставляемая в составе Debian GNU/Linux 2.1, может быть атакована удалённо. При выполнении зеркалирования удалённого сайта владелец этого сайта может использовать имена файлов вида "..", что приведёт к тому, что mirror перейдёт на уровень выше целевого каталога и, следовательно, перезапишет локальные данные.
Исправлено в:
Исходный код:
http://security.debian.org/dists/slink/updates/source/mirror_2.9-2.1.diff.gz
http://security.debian.org/dists/slink/updates/source/mirror_2.9-2.1.dsc
http://security.debian.org/dists/slink/updates/source/mirror_2.9.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/dists/stable/updates/binary-all/mirror_2.9-2.1_all.deb