Debian-Sicherheitsankündigung
DSA-340-1 x-face-el -- Unsichere temporäre Datei
- Datum des Berichts:
- 06. Jul 2003
- Betroffene Pakete:
- x-face-el
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- Im Augenblick ist keine weitere externe Sicherheitsdatenbank-Referenz verfügbar.
- Weitere Informationen:
-
BEACHTEN SIE: Wegen mehreren administrativen Problemen wurde dieses Gutachten irrtümlich mit der Kennzeichnung "DSA-338-1" veröffentlicht. DSA-338-1 bezieht sich richtigerweise auf ein früheres Gutachten über proftpd.
x-face-el, ein Dekodier-Programm für Bilder, die in den X-Face Kopfzeilen von E-Mails enthalten sind, wendet keine geeigneten Sicherheitsvorkehrungen an, wenn temporäre Dateien erstellt werden. Dieser Fehler könnte möglicherweise ausgenutzt werden, um willkürliche Dateien mit den Privilegien des Benutzers zu überschreiben, der Emacs und x-face-el verwendet, möglicherweise mit vom Angreifer gelieferten Inhalt.
Für die stable Distribution (Woody) wurde dieses Problem in Version 1.3.6.19-1woody1 behoben.
Für die unstable Distribution (Sid) wurde dieses Problem in Version 1.3.6.23-1 behoben.
Wir empfehlen Ihnen, Ihr x-face-el Paket zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/x/x-face-el/x-face-el_1.3.6.19-1woody1.dsc
- http://security.debian.org/pool/updates/main/x/x-face-el/x-face-el_1.3.6.19-1woody1.diff.gz
- http://security.debian.org/pool/updates/main/x/x-face-el/x-face-el_1.3.6.19.orig.tar.gz
- http://security.debian.org/pool/updates/main/x/x-face-el/x-face-el_1.3.6.19-1woody1.diff.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/x/x-face-el/x-face-el_1.3.6.19-1woody1_all.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.