-------------------------------------------------------------------------- Alerta de Segurança Debian DSA 308-1 security@debian.org http://www.debian.org/security/ Matt Zimmerman 07 de junho de 2003 http://www.debian.org/security/faq -------------------------------------------------------------------------- Pacote : gzip Vulnerabilidade : arquivos temporários inseguros Tipo de Problema : local Específico ao Debian : não Id CVE : CVE-1999-1332, CAN-2003-0367 Paul Szabo descobriu que o znew, um script incluido no pacote gzip, cria seus arquivos temporários sem tomar precauções para evitar um ataque symlink (CAN-2003-0367). O script gzexe tem uma vulnerabilidade similar para a qual foi criado um patch em uma release anterior mas foi descuidadosamente revertido. Na atual distribuição estável (woody), este problema foi corrigido na versão 1.3.2-3woody1. Na atual distribuição estável (woody), este problema foi corrigido na versão 1.2.4-33.2. Esta versão não é vulnerável ao CVE-1999-1332 devido ao patch anterior. Na distribuição instável (sid), este problema será corrigido em breve. Nós recomendamos que você atualize seus pacotes gzip. -------------------------------------------------------------------------- Essa é uma tradução do DSA original, enviado para a lista debian-security-announce@lists.debian.org. Caso queira receber os alertas em inglês e minutos depois de sua publicação, inscreva-se na lista acima, através do endereço: http://www.debian.org/MailingLists/subscribe#debian-security-announce --------------------------------------------------------------------------
Attachment:
pgpdaisRoFYR6.pgp
Description: PGP signature