Рекомендация Debian по безопасности

DSA-041-1 joe -- локальная уязвимость

Дата сообщения:

09.03.2001

Затронутые пакеты:

joe

Уязвим:

Да

Ссылки на базы данных по безопасности:

В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 2437.
В каталоге Mitre CVE: CVE-2001-0289.

Более подробная информация:

Кристер Оберг из Wkit Security AB обнаружил проблему в joe (Joe's Own Editor). joe производит поиск файла настроек в трёх местах: текущем каталоге, пользовательском домашнем каталоге ($HOME) и в /etc/joe. Поскольку файл настройки может содержать определения команд, запускаемых joe (например, для проверки правописания), то чтение файла настройки из текущего каталога может быть опасно: злоумышленник может оставить файл .joerc в каталоге, в который он может производить запись, файл затем будет прочитан, когда пользователь запустит joe в этом каталоге.

Эта проблема была исправлена в версии 2.8-15.3, рекомендуется как можно скорее обновить пакет joe.

Исправлено в:

Debian 2.2 (potato)

Исходный код:: http://security.debian.org/dists/stable/updates/main/source/joe_2.8-15.3.diff.gz; http://security.debian.org/dists/stable/updates/main/source/joe_2.8-15.3.dsc; http://security.debian.org/dists/stable/updates/main/source/joe_2.8.orig.tar.gz
alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/joe_2.8-15.3_alpha.deb
arm:: http://security.debian.org/dists/stable/updates/main/binary-arm/joe_2.8-15.3_arm.deb
i386:: http://security.debian.org/dists/stable/updates/main/binary-i386/joe_2.8-15.3_i386.deb
m68k:: http://security.debian.org/dists/stable/updates/main/binary-m68k/joe_2.8-15.3_m68k.deb
powerpc:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/joe_2.8-15.3_powerpc.deb
sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/joe_2.8-15.3_sparc.deb