Bulletin d'alerte Debian

DSA-041-1 joe -- Exploitation locale

Date du rapport :

9 mars 2001

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 2437.
Dans le dictionnaire CVE du Mitre : CVE-2001-0289.

Plus de précisions :

Christer Öberg de Wkit Security AB a trouvé un problème dans joe (Joe's Own Editor). Joe va chercher son fichier de configuration à trois locations différentes : le répertoire courant, le répertoire de base de l'utilisateur ($HOME) et /etc/joe. Étant donné que le fichier de configuration peut définir des commandes que joe exécutera (par exemple une vérification orthographique), le lire depuis le répertoire courant peut être dangereux : Un attaquant peut laisser un fichier .joerc dans un répertoire accessible en écriture, qui sera lu quand un utilisateur peu paranoïaque démarrera joe dans ce répertoire.

Ceci a été corrigé dans la version 2.8-15.3 et nous vous recommandons de mettre à jour votre paquet joe immédiatement.

Corrigé dans :

Debian 2.2 (potato)

Source :: http://security.debian.org/dists/stable/updates/main/source/joe_2.8-15.3.diff.gz; http://security.debian.org/dists/stable/updates/main/source/joe_2.8-15.3.dsc; http://security.debian.org/dists/stable/updates/main/source/joe_2.8.orig.tar.gz
alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/joe_2.8-15.3_alpha.deb
arm:: http://security.debian.org/dists/stable/updates/main/binary-arm/joe_2.8-15.3_arm.deb
i386:: http://security.debian.org/dists/stable/updates/main/binary-i386/joe_2.8-15.3_i386.deb
m68k:: http://security.debian.org/dists/stable/updates/main/binary-m68k/joe_2.8-15.3_m68k.deb
powerpc:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/joe_2.8-15.3_powerpc.deb
sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/joe_2.8-15.3_sparc.deb