Bulletin d'alerte Debian

DSA-003-1 joe -- Attaque par lien symbolique

Date du rapport :

1^er décembre 2000

Paquets concernés :

joe

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2000-1178.

Plus de précisions :

La rustine concernant joe sortie le 22 novembre 2000 a un problème : elle crée un fichier DEADJOE sécurisé mais n'écrit rien à l'intérieur. Ce problème a été résolu dans la version 2.8-15.2.

Voici le texte de l'avertissement précédent :

Lorsque joe (Joe's Own Editor) se termine suite à un signal en lieu et place d'une sortie normale, il sauvegarde une liste de fichiers dans un fichier nommé `DEADJOE' dans le répertoire courant. Malheureusement, ceci n'est pas fait de manière sécurisée, ce qui rend joe vulnérable à une attaque par lien symbolique. Ce problème a été résolu dans la version 2.8-15.1.

Corrigé dans :

Debian 2.2 (potato)

Source :: http://security.debian.org/dists/stable/updates/main/source/joe_2.8-15.2.diff.gz; http://security.debian.org/dists/stable/updates/main/source/joe_2.8-15.2.dsc; http://security.debian.org/dists/stable/updates/main/source/joe_2.8.orig.tar.gz
alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/joe_2.8-15.2_alpha.deb
arm:: http://security.debian.org/dists/stable/updates/main/binary-arm/joe_2.8-15.2_arm.deb
i386:: http://security.debian.org/dists/stable/updates/main/binary-i386/joe_2.8-15.2_i386.deb
m68k:: http://security.debian.org/dists/stable/updates/main/binary-m68k/joe_2.8-15.2_m68k.deb
powerpc:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/joe_2.8-15.2_powerpc.deb
sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/joe_2.8-15.2_sparc.deb