Aviso de seguridad de Debian

DSA-003-1 joe -- ataque de enlace simbólico

Fecha del informe:

1 de dic de 2000

Paquetes afectados:

joe

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2000-1178.

Información adicional:

El parche de seguridad para joe liberado el 22 de noviembre de 2000 tenía un problema: creaba el archivo de seguridad DEADJOE pero no escribía nada en él. Esto ha sido reparado en la versión 2.8-15.2.

Este es el texto del aviso previo:

Cuando joe (el propio editor de Joe) muere debido a una señal en lugar de una salida normal guarda una lista de los archivos que estaba editando a un archivo llamado `DEADJOE' en su directorio actual. Desafortunadamente, esto no se hacía de una forma segura lo que hace a joe vulnerable a un ataque de enlace simbólico.

Arreglado en:

Debian 2.2 (potato)

Fuentes:: http://security.debian.org/dists/stable/updates/main/source/joe_2.8-15.2.diff.gz; http://security.debian.org/dists/stable/updates/main/source/joe_2.8-15.2.dsc; http://security.debian.org/dists/stable/updates/main/source/joe_2.8.orig.tar.gz
alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/joe_2.8-15.2_alpha.deb
arm:: http://security.debian.org/dists/stable/updates/main/binary-arm/joe_2.8-15.2_arm.deb
i386:: http://security.debian.org/dists/stable/updates/main/binary-i386/joe_2.8-15.2_i386.deb
m68k:: http://security.debian.org/dists/stable/updates/main/binary-m68k/joe_2.8-15.2_m68k.deb
powerpc:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/joe_2.8-15.2_powerpc.deb
sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/joe_2.8-15.2_sparc.deb