Bulletin d'alerte Debian
DSA-339-1 semi -- Fichier temporaire non sécurisé
- Date du rapport :
- 6 juillet 2003
- Paquets concernés :
- semi, wemi
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 8115.
Dans le dictionnaire CVE du Mitre : CVE-2003-0440. - Plus de précisions :
-
NOTE : À cause d'une combinaison de problèmes administratifs, cette annonce a été publiée par erreur avec l'identifiant « DSA-337-1 ». DSA-337-1 se rapporte correctement à une annonce plus ancienne à propos de gtksee.
semi, une bibliothèque MIME pour GNU Emacs, ne prend pas les précautions de sécurité lors de la création de fichiers temporaires. Ce bogue pouvait potentiellement être exploité pour écraser n'importe quel fichier avec les privilèges de l'utilisateur utilisant Emacs et semi et dont le contenu pourrait être fourni par l'attaquant.
wemi est un développement parallèle de semi et contient le même bogue.
Pour la distribution stable (Woody), ce problème a été corrigé dans la version 1.14.3.cvs.2001.08.10-1woody2 de semi et dans la version 1.14.0.20010802wemiko-1.3 de wemi.
Pour la distribution instable (Sid), ce problème a été corrigé dans la version 1.14.5+20030609-1 de semi. La distribution instable ne contient pas de paquet wemi.
Nous vous recommandons de mettre à jour vos paquets semi et wemi.
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10-1woody2.dsc
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10-1woody2.diff.gz
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko-1.3.dsc
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko-1.3.diff.gz
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10-1woody2.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10-1woody2_all.deb
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko-1.3_all.deb
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko-1.3_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.