Рекомендация Debian по безопасности
DSA-339-1 semi -- небезопасный временный файл
- Дата сообщения:
- 06.07.2003
- Затронутые пакеты:
- semi, wemi
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 8115.
В каталоге Mitre CVE: CVE-2003-0440. - Более подробная информация:
-
ПРИМЕЧАНИЕ: из-за наложения нескольких технических причин это предложение было по ошибке выпущено с идентификатором "DSA-337-1". На самом деле DSA-337-1 обозначает более раннее предложение, относящееся к gtksee.
semi, библиотека MIME для GNU Emacs не предпринимает надлежащих мер предосторожности при создании временных файлов. Эта ошибка потенциально может использоваться для перезаписи произвольных файлов с привилегиями пользователя, запустившего Emacs и semi, содержимым, созданным нападающим.
wemi является ответвлением semi и содержит ту же ошибку.
В стабильном дистрибутиве (woody) эта проблема исправлена в пакете semi версии 1.14.3.cvs.2001.08.10-1woody2 и пакете wemi версии 1.14.0.20010802wemiko-1.3.
В нестабильном дистрибутиве (sid) эта проблема исправлена в пакете semi версии 1.14.5+20030609-1. Нестабильный дистрибутив не содержит пакета wemi.
Мы рекомендуем вам обновить пакеты semi и wemi.
- Исправлено в:
-
Debian GNU/Linux 3.0 (woody)
- Исходный код:
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10-1woody2.dsc
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10-1woody2.diff.gz
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko-1.3.dsc
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko-1.3.diff.gz
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10-1woody2.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/s/semi/semi_1.14.3.cvs.2001.08.10-1woody2_all.deb
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko-1.3_all.deb
- http://security.debian.org/pool/updates/main/w/wemi/wemi_1.14.0.20010802wemiko-1.3_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.