Aviso de seguridad de Debian

DSA-019-1 squid -- gestión de archivo temporal inseguro

Fecha del informe:
25 de ene de 2001
Paquetes afectados:
squid
Vulnerable:
Referencias a bases de datos de seguridad:
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 2184.
En el diccionario CVE de Mitre: CVE-2001-0142.
Información adicional:
WireX descubrió una condición de fuga de archivo temporal en la forma en que squid manda notificaciones de mensajes de correo al administrador al actualizar el programa. Esto podría ocnducir a que se sobreescriban archivos arbitrarios. Sin embargo, el código sólo podría ser ejecutado si está corriendo una versión muy particular de squid, ejecutando un servidor cuyo tiempo esté puesto a algún número de meses en el pasado y que squid esté cayendo. Leerlo es casi tan duro como explotarlo. Esta versión también contiene más reparaciones de fallos en los puntos de los nombres de las máquinas y en las citas HTML impropias en wrt.
Arreglado en:

Debian 2.2 (potato)

Fuentes:
http://security.debian.org/dists/stable/updates/main/source/squid_2.2.5-3.1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/squid_2.2.5-3.1.dsc
http://security.debian.org/dists/stable/updates/main/source/squid_2.2.5.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/squid-cgi_2.2.5-3.1_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/squid_2.2.5-3.1_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/squidclient_2.2.5-3.1_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/squid-cgi_2.2.5-3.1_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/squid_2.2.5-3.1_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/squidclient_2.2.5-3.1_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/squid-cgi_2.2.5-3.1_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/squid_2.2.5-3.1_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/squidclient_2.2.5-3.1_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/squid-cgi_2.2.5-3.1_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/squid_2.2.5-3.1_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/squidclient_2.2.5-3.1_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/squid-cgi_2.2.5-3.1_powerpc.deb
http://security.debian.org/dists/stable/updates/main/binary-powerpc/squid_2.2.5-3.1_powerpc.deb
http://security.debian.org/dists/stable/updates/main/binary-powerpc/squidclient_2.2.5-3.1_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/squid-cgi_2.2.5-3.1_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/squid_2.2.5-3.1_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/squidclient_2.2.5-3.1_sparc.deb