Aviso de seguridad de Debian
DSA-041-1 joe -- explotación local
- Fecha del informe:
- 9 de mar de 2001
- Paquetes afectados:
- joe
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 2437.
En el diccionario CVE de Mitre: CVE-2001-0289. - Información adicional:
- Christer Öberg de Wkit Security AB encontró un problema
en joe (Joe's Own Editor - El propio editor de Joe). joe buscará un archivo de
configuración en tres ubicaciones: El directorio actual, el directorio del
usuario ($HOME) y en /etc/joe. Ya que el archivo de configuración puede
definir comandos, si joe los ejecuta (por ejemplo, para la verificación
ortográfica) leyéndolos del directorio actual puede ser peligroso: Un
atacante puede dejar un archivo .joerc en un directorio escribible, que puede
ser leído cuando un usuario no sospechoso inicie joe en ese directorio.
Esto ha sido arreglado en la versión 2.8-15.3 y le recomendamos que actualice su paquete joe inmediatamente.
- Arreglado en:
-
Debian 2.2 (potato)
- Fuentes:
-
http://security.debian.org/dists/stable/updates/main/source/joe_2.8-15.3.diff.gz
-
http://security.debian.org/dists/stable/updates/main/source/joe_2.8-15.3.dsc
-
http://security.debian.org/dists/stable/updates/main/source/joe_2.8.orig.tar.gz
- alpha:
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/joe_2.8-15.3_alpha.deb
- arm:
-
http://security.debian.org/dists/stable/updates/main/binary-arm/joe_2.8-15.3_arm.deb
- i386:
-
http://security.debian.org/dists/stable/updates/main/binary-i386/joe_2.8-15.3_i386.deb
- m68k:
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/joe_2.8-15.3_m68k.deb
- powerpc:
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/joe_2.8-15.3_powerpc.deb
- sparc:
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/joe_2.8-15.3_sparc.deb