Рекомендация Debian по безопасности

DSA-022-1 exmh -- локальное создание небезопасных временных файлов

Дата сообщения:

26.01.2001

Затронутые пакеты:

exmh

Уязвим:

Да

Ссылки на базы данных по безопасности:

В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 2327.
В каталоге Mitre CVE: CVE-2001-0125.

Более подробная информация:

Предыдущие версии программы exmh использовали /tmp для хранения временных файлов. Проверки того, что кто-то поместил символическую ссылку с тем же именем в /tmp не производились. Таким образом, программа была уязвима к атаке через символические ссылки, что могло приводить к тому, что локальный пользователь мог перезаписать любой файл, права на запись которого имеет пользователь, запустивший exmh. Разработчики основной ветки разработки сообщили и исправили эту проблему. Программа exmh теперь использует /tmp/login в том случае, если переменные TMPDIR или EXMHTMPDIR не установлены.

Рекомендуется как можно скорее обновить пакеты exmh.

Исправлено в:

Debian 2.2 (potato)

Исходный код:: http://security.debian.org/dists/stable/updates/main/source/exmh_2.1.1-1.1.diff.gz; http://security.debian.org/dists/stable/updates/main/source/exmh_2.1.1-1.1.dsc; http://security.debian.org/dists/stable/updates/main/source/exmh_2.1.1.orig.tar.gz
Независимые от архитектуры компоненты:: http://security.debian.org/dists/stable/updates/main/binary-all/exmh_2.1.1-1.1_all.deb