Debians sikkerhedsbulletin
DSA-339-1 semi -- usikker midlertidig fil
- Rapporteret den:
- 6. jul 2003
- Berørte pakker:
- semi, wemi
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 8115.
I Mitres CVE-ordbog: CVE-2003-0440. - Yderligere oplysninger:
-
BEMÆRK: På grund af en kombination af administrative problemer, blev dette bulletin fejlagtigt udgivet med identifikationen "DSA-337-1". DSA-337-1 refererer korrekt til et tidligere bulletin vedrørende gtksee.
semi, et MIME-bibliotek til GNU Emacs, tager ikke de nødvendige sikkerhedsforanstaltninger ved oprettelse af midlertidige filer. Denne fejl kunne potentielt udnyttes til at overskrive vilkårlige filer, med de rettigheder tilhørende den bruger, der kører Emacs og semi, potentielt med indhold leveret af angriberen.
wemi er en forgrening af semi og indeholder den samme fejl.
I den stabile distribution (woody) er dette problem rettet i semi version 1.14.3.cvs.2001.08.10-1woody2 og wemi version 1.14.0.20010802wemiko-1.3.
I den ustabile distribution (sid) er dette problem rettet i semi version 1.14.5+20030609-1. Den ustabile distribution indeholder ikke pakken wemi.
Vi anbefaler at du opdaterer dine semi- og wemi-pakker.
- Rettet i:
-
Debian GNU/Linux 3.0 (woody)
- Kildekode:
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10-1woody2.dsc
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10-1woody2.diff.gz
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko-1.3.dsc
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko-1.3.diff.gz
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10-1woody2.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10-1woody2_all.deb
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko-1.3_all.deb
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko-1.3_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.