- ---------------------------------------------------------------------------- Informativo de Segurança do Debian DSA-022-1 security@debian.org http://www.debian.org/security/ Martin Schulze 26 de Janeiro de 2001 - ---------------------------------------------------------------------------- Pacote : exmh Vulnerabilidade : criação local de arquivo temporário inseguro Específico do Debian : não Versões anteriores do programa exmh usavam o diretório /tmp para guardar arquivos temporários. Nenhuma checagem era feita para assegurar que ninguém colocaria um link simbólico com o mesmo nome nesse diretório nesse meio tempo, e assim eram possíveis ataques por link simbólico. Isso poderia habilitar um usuário local malicioso a sobrescrever arquivos sobre os quais o usuário executando o exmh tinha permissão de escrita. Isso foi reportado e corrigido por desenvolvedores. O programa exmh usa /tmp/login atualmente, exceto quando as variáveis TMPDIR ou EXMHTMPDIR indiquem outra localização. Nós recomendamos que você atualize seus pacotes exmh imediatamente. wget url baixará o arquivo para você dpkg -i arquivo.deb instalará o arquivo mencionado. Você pode fazer uma atualização automática utilizando as instruções do rodapé dessa mensagem. Debian GNU/Linux 2.2 codinome potato - ------------------------------------ Potato foi liberado para as arquiteturas alpha, arm, i386, m68k, powerpc e sparc. Esse pacote não contém nenhum arquivo dependente de arquitetura (ex.: não há programas compilados). Arquivos do código-fonte: http://security.debian.org/dists/stable/updates/main/source/exmh_2.1.1-1.1.diff.gz MD5 checksum: 67cd5c52498b1dc120b608b151cbd44c http://security.debian.org/dists/stable/updates/main/source/exmh_2.1.1-1.1.dsc MD5 checksum: 36f91fba778ff68881adb4022ae99403 http://security.debian.org/dists/stable/updates/main/source/exmh_2.1.1.orig.tar.gz MD5 checksum: f3c6eedfa5720e236389e22234a57c24 Independente de arquitetura: http://security.debian.org/dists/stable/updates/main/binary-all/exmh_2.1.1-1.1_all.deb MD5 checksum: 326c6374703977be603579435d328cf8 Esses arquivos serão movidos para ftp://ftp.debian.org/debian/dists/stable/*/binary-$arch/ em breve. Para arquiteturas que ainda não foi liberado favor consultar o diretório apropriado ftp://ftp.debian.org/debian/dists/sid/binary-$arch/ . ---------------------------------------------------------------------------- No apt-get: deb http://security.debian.org/ stable/updates main No dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main Lista de mensagens: debian-security-announce@lists.debian.org Informações sobre o pacote: apt-cache show <pacote>' e http://packages.debian.org/<pacote> -- Lauro Costa - Joinville/SC laurocgb@yahoo.com.BR
Attachment:
pgpG_tdFxklaW.pgp
Description: PGP signature