-------------------------------------------------------------------------- Alerta de Segurança Debian DSA 292-2 security@debian.org http://www.debian.org/security/ Martin Schulze 23 de Abril de 2003 http://www.debian.org/security/faq -------------------------------------------------------------------------- Pacote : mime-support Vulnerabilidade : criação insegura de arquivo temporário Tipo de Problema : local Específico ao Debian : não Infelizmente, a atualização de ontem para o mime-support não funciona exatamente como esperado, sendo necessário uma nova atualização. Para maiores informações, incluímos o texto do alerta original: Colin Phipps descobriu vários problemas no mime-support, que contem programas que oferecem suporte para arquivos 'mime.types' e 'mailcap' para controle de MIME. Quando um arquivo temporário está para ser usado, ele é criado de forma insegura, permitindo que um atacante reescreva arbitrariamente sob o id da pessoa que está executando o run-mailcap, mais provavelmente o root. Além disso os programas não deixam sair caracteres de escape do shell quando executam um comando. Apesar de não ser razoável explorar essa falha. Na atual distribuição estável (woody), este problema foi corrigido na versão 3.18-1.2. Na antiga distribuição estável (potato), este problema foi corrigido na versão 3.9-1.2. Na distribuição instável (sid), este problema foi corrigido na versão 3.22-1 (a mesma do DSA 292-1). Nós recomendamos que você atualize seus pacotes mime-support. -------------------------------------------------------------------------- Essa é uma tradução do DSA original, enviado para a lista debian-security-announce@lists.debian.org. Caso queira receber os alertas em inglês e minutos depois de sua publicação, inscreva-se na lista acima, através do endereço: http://www.debian.org/MailingLists/subscribe#debian-security-announce --------------------------------------------------------------------------
Attachment:
pgpqVFBkO3Du3.pgp
Description: PGP signature