Bulletin d'alerte Debian
DSA-090-1 xtel -- Attaque par des liens symboliques
- Date du rapport :
- 5 décembre 2001
- Paquets concernés :
- xtel
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 3626.
Dans le dictionnaire CVE du Mitre : CVE-2002-0334. - Plus de précisions :
-
Le paquet xtel (un émulateur de minitel pour X) qui est distribué avec Debian GNU/Linux 2.2 peut être la proie de deux attaques au moyen de liens symboliques.
- xteld crée un fichier temporaire /tmp/.xtel-<user> sans vérifier les liens symboliques.
- En imprimant une copie sur le disque dur, xtel créera un ficher temporaire sans se protéger contre une attaque sur les liens symboliques.
Les deux problèmes ont été résolus dans la version 3.2.1-4.potato.1.
- Corrigé dans :
-
Debian GNU/Linux 2.2 (potato)
- Source :
- http://security.debian.org/dists/stable/updates/main/source/xtel_3.2.1-4.potato.1.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/xtel_3.2.1-4.potato.1.dsc
- http://security.debian.org/dists/stable/updates/main/source/xtel_3.2.1.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/xtel_3.2.1-4.potato.1.dsc
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/xtel_3.2.1-4.potato.1_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/xtel_3.2.1-4.potato.1_arm.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/xtel_3.2.1-4.potato.1_m68k.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/xtel_3.2.1-4.potato.1_i386.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/xtel_3.2.1-4.potato.1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/xtel_3.2.1-4.potato.1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.