Aviso de seguridad de Debian
DSA-960-3 libmail-audit-perl -- creación insegura de archivo temporal
- Fecha del informe:
- 31 de ene de 2006
- Paquetes afectados:
- libmail-audit-perl
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el sistema de seguimiento de errores de Debian: error 344029.
En el diccionario CVE de Mitre: CVE-2005-4536. - Información adicional:
-
La actualización anterior provocaba que los archivos temporales se creasen en el directorio de trabajo actual, debido a un argumento de función incorrecto. Esta actualización crea los archivos temporales en la carpeta de inicio del usuario si está definida la variable HOME o, en caso contrario, en el directorio del sistema para archivos temporales, que suele ser /tmp. Para una mejor comprensión del problema original y de su solución, se reproduce a continuación una copia del texto del aviso original:
Niko Tyni descubrió que el módulo Mail::Audit, una biblioteca de Perl para crear filtros de correo sencillos, escribía su registro en un archivo temporal con un nombre de archivo predecible de una forma insegura cuando estaba activado el registro, que no es lo que ocurre de forma predefinida.
Para la distribución estable anterior (woody), estos problemas se han corregido en la versión 2.0-4woody3.
Para la distribución estable (sarge), estos problemas se han corregido en la versión 2.1-5sarge4.
Para la distribución inestable (sid), estos problemas se han corregido en la versión 2.1-5.1.
Le recomendamos que actualice el paquete libmail-audit-perl.
- Arreglado en:
-
Debian GNU/Linux 3.0 (woody)
- Fuentes:
- http://security.debian.org/pool/updates/main/libm/libmail-audit-perl/libmail-audit-perl_2.0-4woody3.dsc
- http://security.debian.org/pool/updates/main/libm/libmail-audit-perl/libmail-audit-perl_2.0-4woody3.diff.gz
- http://security.debian.org/pool/updates/main/libm/libmail-audit-perl/libmail-audit-perl_2.0.orig.tar.gz
- http://security.debian.org/pool/updates/main/libm/libmail-audit-perl/libmail-audit-perl_2.0-4woody3.diff.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/pool/updates/main/libm/libmail-audit-perl/libmail-audit-perl_2.0-4woody3_all.deb
- http://security.debian.org/pool/updates/main/libm/libmail-audit-perl/mail-audit-tools_2.0-4woody3_all.deb
- http://security.debian.org/pool/updates/main/libm/libmail-audit-perl/mail-audit-tools_2.0-4woody3_all.deb
Debian GNU/Linux 3.1 (sarge)
- Fuentes:
- http://security.debian.org/pool/updates/main/libm/libmail-audit-perl/libmail-audit-perl_2.1-5sarge4.dsc
- http://security.debian.org/pool/updates/main/libm/libmail-audit-perl/libmail-audit-perl_2.1-5sarge4.diff.gz
- http://security.debian.org/pool/updates/main/libm/libmail-audit-perl/libmail-audit-perl_2.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/libm/libmail-audit-perl/libmail-audit-perl_2.1-5sarge4.diff.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/pool/updates/main/libm/libmail-audit-perl/libmail-audit-perl_2.1-5sarge4_all.deb
- http://security.debian.org/pool/updates/main/libm/libmail-audit-perl/mail-audit-tools_2.1-5sarge4_all.deb
- http://security.debian.org/pool/updates/main/libm/libmail-audit-perl/mail-audit-tools_2.1-5sarge4_all.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso revisado.
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso revisado.