Debian-Sicherheitsankündigung

DSA-343-1 skk, ddskk -- Unsichere temporäre Datei

Datum des Berichts:
08. Jul 2003
Betroffene Pakete:
skk, ddskk
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 8144.
In Mitres CVE-Verzeichnis: CVE-2003-0539.
Weitere Informationen:

skk (Simples Kana nach Kanji Konvertierungsprogramm) wendet bei der Erstellung von temporären Dateien keine geeigneten Sicherheitsvorkehrungen an. Dieser Fehler könnte möglicherweise ausgenutzt werden, um willkürliche Dateien mit den Berechtigungen des Benutzers auszuführen, der Emacs und skk verwendet.

ddskk ist vom selben Code abgeleitet, und enthält den selben Fehler.

Für die stable Distribution (Woody) wurde dieses Problem in skk Version 10.62a-4woody1 und ddskk Version 11.6.rel.0-2woody1 behoben.

Für die unstable Distribution (Sid) wurde dieses Problem in ddskk Version 12.1.cvs.20030622-1 behoben, und skk wird bald repariert sein.

Wir empfehlen Ihnen, Ihre skk- und ddskk-Pakete zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/s/skk/skk_10.62a-4woody1.dsc
http://security.debian.org/pool/updates/main/s/skk/skk_10.62a-4woody1.diff.gz
http://security.debian.org/pool/updates/main/s/skk/skk_10.62a.orig.tar.gz
http://security.debian.org/pool/updates/main/d/ddskk/ddskk_11.6.rel.0-2woody1.dsc
http://security.debian.org/pool/updates/main/d/ddskk/ddskk_11.6.rel.0-2woody1.diff.gz
http://security.debian.org/pool/updates/main/d/ddskk/ddskk_11.6.rel.0.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/s/skk/skk_10.62a-4woody1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/s/skk/skkserv_10.62a-4woody1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/s/skk/skkserv_10.62a-4woody1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/s/skk/skkserv_10.62a-4woody1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/s/skk/skkserv_10.62a-4woody1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/s/skk/skkserv_10.62a-4woody1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/skk/skkserv_10.62a-4woody1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/s/skk/skkserv_10.62a-4woody1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/s/skk/skkserv_10.62a-4woody1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/skk/skkserv_10.62a-4woody1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/s/skk/skkserv_10.62a-4woody1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/skk/skkserv_10.62a-4woody1_sparc.deb
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/d/ddskk/ddskk_11.6.rel.0-2woody1_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.