Aviso de seguridad de Debian
DSA-339-1 semi -- archivo temporal inseguro
- Fecha del informe:
- 6 de jul de 2003
- Paquetes afectados:
- semi, wemi
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 8115.
En el diccionario CVE de Mitre: CVE-2003-0440. - Información adicional:
-
NOTA: debido a un cúmulo de problemas administrativos, este aviso se publicó erróneamente con el identificador «DSA-337-1». El DSA-337-1 correcto hace referencia a un aviso anterior que hablaba sobre gtksee.
semi, una biblioteca de MIME para GNU Emacs, no tomaba las precauciones de seguridad adecuadas al crear archivos temporales. Este error podría ser aprovechado para sobreescribir archivos arbitrarios con los privilegios del usuario que estuviera corriendo Emacs y semi, potencialmente con los contenidos suministrados por el atacante.
wemi se deriva del desarrollo de semi, y contiene el mismo error.
Para la distribución estable (woody), este problema se ha corregido en la versión 1.14.3.cvs.2001.08.10-1woody2 de semi y en la versión 1.14.0.20010802wemiko-1.3 de wemi.
Para la distribución inestable (sid), este problema se ha corregido en la versión 1.14.5+20030609-1 de semi. La distribución inestable no contiene ningún paquete de wemi.
Le recomendamos que actualice los paquetes semi y wemi.
- Arreglado en:
-
Debian GNU/Linux 3.0 (woody)
- Fuentes:
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10-1woody2.dsc
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10-1woody2.diff.gz
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko-1.3.dsc
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko-1.3.diff.gz
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10-1woody2.diff.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10-1woody2_all.deb
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko-1.3_all.deb
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko-1.3_all.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.