Alerta de Segurança Debian

DSA-340-1 x-face-el -- arquivo temporário inseguro

Data do Alerta:

06 Jul 2003

Pacotes Afetados:

x-face-el

Vulnerável:

Sim

Referência à base de dados de segurança:

Nenhuma outra base de dados externa de referências de segurança está disponível atualmente.

Informações adicionais:

NOTA: devido a uma combinação de problemas administrativos, este alerta foi erroneamente lançado com o identificador "DSA-338-1". O DSA-338-1 corretamente refere-se a um alerta anterior a respeito do proftpd.

x-face-el, um decodificador de imagens incluídas nos cabeçalhos X-Face de e-mails, não toma as devidas precauções de segurança ao criar arquivos temporários. Esta falha pode potencialmente ser explorada para sobrescrever arquivos arbitrários com os privilégios do usuário que está executando o Emacs e o x-face-el, potencialmente com conteúdo fornecido pelo atacante.

Na atual distribuição estável (woody) este problema foi corrigido na versão 1.3.6.19-1woody1.

Na distribuição instável (sid) este problema foi corrigido na versão 1.3.6.23-1.

Nós recomendamos que você atualize seus pacotes x-face-el.

Corrigido em:

Debian GNU/Linux 3.0 (woody)

Fonte:: http://security.debian.org/pool/updates/main/x/x-face-el/x-face-el_1.3.6.19-1woody1.dsc; http://security.debian.org/pool/updates/main/x/x-face-el/x-face-el_1.3.6.19-1woody1.diff.gz; http://security.debian.org/pool/updates/main/x/x-face-el/x-face-el_1.3.6.19.orig.tar.gz
Componente independente de arquitetura:: http://security.debian.org/pool/updates/main/x/x-face-el/x-face-el_1.3.6.19-1woody1_all.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.