Debian-Sicherheitsankündigung
joe -- Symlink-Angriff
- Datum des Berichts:
- 21. Nov 2000
- Betroffene Pakete:
- joe
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2000-1178.
- Weitere Informationen:
- Wenn joe (Joe's Own Editor) aufgrund eines Signals statt mit einer normalen Beendigung verlassen wird, speichert das Programm eine Liste von Dateien, die bearbeitet wurden, in einer Datei namens »DEADJOE« im aktuellen Verzeichnis. Unglücklicherweise wurde dies nicht sicher durchgeführt, weshalb joe für einen Symlink-Angriff verwundbar wurde. Dieses Problem ist in Version 2.8-15.1 behoben.
- Behoben in:
- 2000-12-01