Aviso de seguridad de Debian
DSA-340-1 x-face-el -- archivo temporal inseguro
- Fecha del informe:
- 6 de jul de 2003
- Paquetes afectados:
- x-face-el
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- No se dispone, de momento, de referencias a otras bases de datos de seguridad externas.
- Información adicional:
-
NOTA: debido a una combinación de problemas administrativos, este aviso fue publicado erróneamente con el identificador «DSA-338-1». El DSA-338-1 correcto hace referencia a un aviso anterior que trataba sobre proftpd.
x-face-el, un decodificador para imágenes incluidas en la línea de encabezados del correo de X-Face, no tomaba las precauciones de seguridad adecuadas al crear archivos temporales. Este error podría ser aprovechado potencialmente para sobreescribir archivos arbitrarios con los privilegios del usuario que estuviera corriendo Emacs y x-face-el, potencialmente con los contenidos suministrados por el atacante.
Para la distribución estable (woody), este problema se ha corregido en la versión 1.3.6.19-1woody1.
Para la distribución inestable (sid), este problema se ha corregido en la versión 1.3.6.23-1.
Le recomendamos que actualice el paquete x-face-el.
- Arreglado en:
-
Debian GNU/Linux 3.0 (woody)
- Fuentes:
- http://security.debian.org/pool/updates/main/x/x-face-el/x-face-el_1.3.6.19-1woody1.dsc
- http://security.debian.org/pool/updates/main/x/x-face-el/x-face-el_1.3.6.19-1woody1.diff.gz
- http://security.debian.org/pool/updates/main/x/x-face-el/x-face-el_1.3.6.19.orig.tar.gz
- http://security.debian.org/pool/updates/main/x/x-face-el/x-face-el_1.3.6.19-1woody1.diff.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/pool/updates/main/x/x-face-el/x-face-el_1.3.6.19-1woody1_all.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.