Aviso de seguridad de Debian
DSA-661-2 f2c -- archivos temporales inseguros
- Fecha del informe:
- 20 de abr de 2005
- Paquetes afectados:
- f2c
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2005-0017, CVE-2005-0018.
- Información adicional:
-
Dan McMahill advirtió que nuestro aviso DSA 661-1 no corregía varios de los problemas de archivos inseguros, de ahí esta actualización. Para mayor información, se reproduce a continuación el aviso original:
Javier Fernández-Sanguino Peña, del proyecto de auditoría de seguridad de Debian, descubrió que f2c y fc, ambos parte del paquete f2c, un traductor de fortran 77 a C/C++, abrían archivos temporales de forma insegura y, por tanto, eran vulnerables a un ataque de enlaces simbólicos. El proyecto Common Vulnerabilities and Exposures identifica las siguientes vulnerabilidades:
- CAN-2005-0017
Varios archivos temporales inseguros en el traductor f2c.
- CAN-2005-0018
Dos archivos temporales inseguros en el guión de la shell f2.
Para la distribución estable (woody) y todas las demás, incluyendo la distribución en pruebas, este problema se ha corregido en la versión 20010821-3.2.
Le recomendamos que actualice el paquete f2c.
- CAN-2005-0017
- Arreglado en:
-
Debian GNU/Linux 3.0 (woody)
- Fuentes:
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821-3.2.dsc
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821-3.2.diff.gz
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821.orig.tar.gz
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821-3.2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821-3.2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821-3.2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821-3.2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821-3.2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821-3.2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821-3.2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821-3.2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821-3.2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821-3.2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821-3.2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/f/f2c/f2c_20010821-3.2_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso revisado.