-------------------------------------------------------------------------- Alerta de Segurança Debian DSA 292-3 security@debian.org http://www.debian.org/security/ Martin Schulze 30 de Abril de 2003 http://www.debian.org/security/faq -------------------------------------------------------------------------- Pacote : mime-support Vulnerabilidade : criação insegura de arquivo temporário Tipo de Problema : local Específico ao Debian : não Martin Schulze, autor dos DSAs, esclarece: "Estou extrema e sinceramente sentido. Aparentemente, não tive tempo necessário para esta questão e produzi testes insuficientes nesta atualização. Farei meu melhor para que isso não se repita". Esta atualização corrige o segundo problema do alerta original: Quando o run-mailcap é executado em um arquivo com um nome potencialmente problemático, um arquivo temporário é criado (agora não inseguramente), removido e um link simbólico para este arquivo é criado. Um atacante pode recriar o arquivo antes do link simbólico ser criado, forçando o programa a exibir um conteúdo diferente. Na atual distribuição estável (woody), este problema foi corrigido na versão 3.18-1.3. Na antiga distribuição estável (potato), este problema foi corrigido na versão 3.9-1.3. Na distribuição instável (sid), este problema foi corrigido na versão 3.23-1. Nós recomendamos que você atualize seus pacotes mime-support. -------------------------------------------------------------------------- Essa é uma tradução do DSA original, enviado para a lista debian-security-announce@lists.debian.org. Caso queira receber os alertas em inglês e minutos depois de sua publicação, inscreva-se na lista acima, através do endereço: http://www.debian.org/MailingLists/subscribe#debian-security-announce --------------------------------------------------------------------------
Attachment:
pgpjzleNVPa0e.pgp
Description: PGP signature