Debian セキュリティ勧告

DSA-003-1 joe -- シンボリックリンク攻撃

報告日時:

2000-12-01

影響を受けるパッケージ:

joe

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2000-1178.

詳細:

2000 年 11 月 22 日にセキュリティホール修正のためリリースされた joe には問題がありました。joe は DEADJOE ファイルを安全に作成しますが、中に何も書かれません。この問題は 2.8-15.2 で修正されています。

次の文章は、前回の advisory からの転載です。

joe (Joe's Own Editor)は、通常の終了方法の代わりにシグナルによって終了させられたときに、編集中のファイル名のリストをカレントディレクトリの `DEADJOE' というファイルに記録します。残念ながら、この処理は安全ではない手順で行なわれるため、シンボリックリンク攻撃を受けてしまいます。

修正:

Debian 2.2 (potato)

ソース:: http://security.debian.org/dists/stable/updates/main/source/joe_2.8-15.2.diff.gz; http://security.debian.org/dists/stable/updates/main/source/joe_2.8-15.2.dsc; http://security.debian.org/dists/stable/updates/main/source/joe_2.8.orig.tar.gz
alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/joe_2.8-15.2_alpha.deb
arm:: http://security.debian.org/dists/stable/updates/main/binary-arm/joe_2.8-15.2_arm.deb
i386:: http://security.debian.org/dists/stable/updates/main/binary-i386/joe_2.8-15.2_i386.deb
m68k:: http://security.debian.org/dists/stable/updates/main/binary-m68k/joe_2.8-15.2_m68k.deb
powerpc:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/joe_2.8-15.2_powerpc.deb
sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/joe_2.8-15.2_sparc.deb