Debian-Sicherheitsankündigung
DSA-339-1 semi -- Unsichere temporäre Datei
- Datum des Berichts:
- 06. Jul 2003
- Betroffene Pakete:
- semi, wemi
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 8115.
In Mitres CVE-Verzeichnis: CVE-2003-0440. - Weitere Informationen:
-
BEACHTEN SIE: Wegen mehreren administrativen Problemen wurde dieses Gutachten irrtümlich mit der Kennzeichnung "DSA-337-1" veröffentlicht. DSA-337-1 bezieht sich richtigerweise auf ein früheres Gutachten über gtksee.
semi, eine MIME-Bibliothek für GNU Emacs, wendet nicht die passenden Sicherheitsvorkehrungen an, wenn es temporäre Dateien erstellt. Dieser Fehler könnte möglicherweise ausgenutzt werden, um willkürliche Dateien mit den Privilegien des Benutzers zu überschreiben, der Emacs und semi verwendet, möglicherweise mit dem vom Angreifer gelieferten Inhalt.
wemi ist eine Abwandlung von semi und enthält den selben Fehler.
Für die stable Distribution (Woody) wurde dieses Problem in semi Version 1.14.3.cvs.2001.08.10-1woody2 und wemi Version 1.14.0.20010802wemiko-1.3 behoben.
Für die unstable Distribution (Sid) wurde dieses Problem in semi Version 1.14.5+20030609-1 behoben. Die unstable Distribution enthält kein wemi-Paket.
Wir empfehlen Ihnen, Ihre semi- und wemi-Pakete zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10-1woody2.dsc
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10-1woody2.diff.gz
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko-1.3.dsc
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko-1.3.diff.gz
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10-1woody2.diff.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10-1woody2_all.deb
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko-1.3_all.deb
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko-1.3_all.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.