Aviso de seguridad de Debian
DSA-090-1 xtel -- ataque de enlace simbólico
- Fecha del informe:
- 5 de dic de 2001
- Paquetes afectados:
- xtel
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 3626.
En el diccionario CVE de Mitre: CVE-2002-0334. - Información adicional:
-
El paquete xtel (un emulador de X para minitel) distribuido con Debian GNU/Linux 2.2 tiene dos posibles ataques de enlace simbólico:
- xteld crea un archivo temporal /tmp/.xtel-<usuario> sin verificar los enlaces simbólicos.
- al imprimir una copia dura xtel crearía un archivo temporal sin protegerlo contra ataques de enlaces simbólicos.
Ambos problemas han sido arreglados en la versión 3.2.1-4.potato.1 .
- Arreglado en:
-
Debian GNU/Linux 2.2 (potato)
- Fuentes:
- http://security.debian.org/dists/stable/updates/main/source/xtel_3.2.1-4.potato.1.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/xtel_3.2.1-4.potato.1.dsc
- http://security.debian.org/dists/stable/updates/main/source/xtel_3.2.1.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/xtel_3.2.1-4.potato.1.dsc
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/xtel_3.2.1-4.potato.1_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/xtel_3.2.1-4.potato.1_arm.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/xtel_3.2.1-4.potato.1_m68k.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/xtel_3.2.1-4.potato.1_i386.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/xtel_3.2.1-4.potato.1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/xtel_3.2.1-4.potato.1_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.