Debian-Sicherheitsankündigung
DSA-003-1 joe -- Symlink-Angriff
- Datum des Berichts:
- 01. Dez 2000
- Betroffene Pakete:
- joe
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2000-1178.
- Weitere Informationen:
- Die am 22. November 2000 veröffentlichte
Sicherheitsaktualisierung für joe wirft ein neues Problem auf: Sie erstellt
die Datei DEADJOE sicher, schreibt aber nichts hinein.
Dieses Problem wurde in Version 2.8-15.2 behoben.
Dies ist der Text der vorherigen Ankündigung:
Wenn joe (Joe's Own Editor) aufgrund eines Signals statt mit einer normalen Beendigung verlassen wird, speichert das Programm eine Liste von Dateien, die bearbeitet wurden, in einer Datei namens
DEADJOE
im aktuellen Verzeichnis. Unglücklicherweise wurde dies nicht sicher durchgeführt, weshalb joe für einen Symlink-Angriff verwundbar wurde. - Behoben in:
-
Debian 2.2 (potato)
- Quellcode:
-
http://security.debian.org/dists/stable/updates/main/source/joe_2.8-15.2.diff.gz
-
http://security.debian.org/dists/stable/updates/main/source/joe_2.8-15.2.dsc
-
http://security.debian.org/dists/stable/updates/main/source/joe_2.8.orig.tar.gz
- alpha:
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/joe_2.8-15.2_alpha.deb
- arm:
-
http://security.debian.org/dists/stable/updates/main/binary-arm/joe_2.8-15.2_arm.deb
- i386:
-
http://security.debian.org/dists/stable/updates/main/binary-i386/joe_2.8-15.2_i386.deb
- m68k:
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/joe_2.8-15.2_m68k.deb
- powerpc:
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/joe_2.8-15.2_powerpc.deb
- sparc:
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/joe_2.8-15.2_sparc.deb