Debian セキュリティ勧告
DSA-339-1 semi -- 安全でない一時ファイル
- 報告日時:
- 2003-07-06
- 影響を受けるパッケージ:
- semi, wemi
- 危険性:
- あり
- 参考セキュリティデータベース:
- (SecurityFocus の) Bugtraq データベース: BugTraq ID 8115.
Mitre の CVE 辞書: CVE-2003-0440. - 詳細:
-
注意: 管理的な問題が組み合わさった結果、 この勧告は誤って識別子「DSA-337-1」で発表されました。DSA-337-1 は正確には先の gtksee について言及する勧告です。
GNU Emacs 用の MIME ライブラリである semi は適切なセキュリティ予防措置を取ることなく一時ファイルを作成しています。 このバグを悪用して、Emacs および semi を実行しているユーザの権限で、 攻撃者により提供された内容で任意のファイルを上書きすることが潜在的に可能です。
wemi は semi から派生したもので、同じバグを抱えています。
安定版 (stable) ディストリビューション (woody) では、この問題は semi バージョン 1.14.3.cvs.2001.08.10-1woody2 および wemi バージョン 1.14.0.20010802wemiko-1.3 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、この問題は semi バージョン 1.14.5+20030609-1 で修正されています。不安定版 (unstable) ディストリビューションには wemi パッケージは含まれません。
直ちに semi および wemi パッケージを更新することを勧めます。
- 修正:
-
Debian GNU/Linux 3.0 (woody)
- ソース:
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10-1woody2.dsc
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10-1woody2.diff.gz
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko-1.3.dsc
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko-1.3.diff.gz
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10-1woody2.diff.gz
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10-1woody2_all.deb
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko-1.3_all.deb
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko-1.3_all.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。