Debian-Sicherheitsankündigung
DSA-041-1 joe -- Lokaler Exploit
- Datum des Berichts:
- 09. Mär 2001
- Betroffene Pakete:
- joe
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 2437.
In Mitres CVE-Verzeichnis: CVE-2001-0289. - Weitere Informationen:
- Christer Öberg des Wkit Security AB hat ein Problem in
joe (Joe's Own Editor) gefunden. joe such an drei Orten nach einer
Konfigurationsdatei: Dem aktuellen Verzeichnis, dem Home-Verzeichnis ($HOME)
des Benutzers und in /etc/joe. Da die Konfigurationsdatei Befehle definieren
kann, die joe ausführt (zum Beispiel, um die Rechtschreibung zu prüfen), kann
das Lesen aus dem aktuellen Verzeichnis gefährlich sein: Ein Angreifer
hinterlässt eine .joerc Datei in einem beschreibbaren Verzeichnis, die gelesen
wird, wenn ein ahnungsloser Benutzer joe in diesem Verzeichnis startet.
Dies wurde in Version 2.8-15.3 behoben und wir empfehlen Ihnen, Ihr joe-Paket unverzüglich zu aktualisieren.
- Behoben in:
-
Debian 2.2 (potato)
- Quellcode:
-
http://security.debian.org/dists/stable/updates/main/source/joe_2.8-15.3.diff.gz
-
http://security.debian.org/dists/stable/updates/main/source/joe_2.8-15.3.dsc
-
http://security.debian.org/dists/stable/updates/main/source/joe_2.8.orig.tar.gz
- alpha:
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/joe_2.8-15.3_alpha.deb
- arm:
-
http://security.debian.org/dists/stable/updates/main/binary-arm/joe_2.8-15.3_arm.deb
- i386:
-
http://security.debian.org/dists/stable/updates/main/binary-i386/joe_2.8-15.3_i386.deb
- m68k:
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/joe_2.8-15.3_m68k.deb
- powerpc:
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/joe_2.8-15.3_powerpc.deb
- sparc:
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/joe_2.8-15.3_sparc.deb