Aviso de seguridad de Debian

DSA-090-1 xtel -- ataque de enlace simbólico

Fecha del informe:

5 de dic de 2001

Paquetes afectados:

xtel

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 3626.
En el diccionario CVE de Mitre: CVE-2002-0334.

Información adicional:

El paquete xtel (un emulador de X para minitel) distribuido con Debian GNU/Linux 2.2 tiene dos posibles ataques de enlace simbólico:

xteld crea un archivo temporal /tmp/.xtel-<usuario> sin verificar los enlaces simbólicos.
al imprimir una copia dura xtel crearía un archivo temporal sin protegerlo contra ataques de enlaces simbólicos.

Ambos problemas han sido arreglados en la versión 3.2.1-4.potato.1 .

Arreglado en:

Fuentes:: http://security.debian.org/dists/stable/updates/main/source/xtel_3.2.1-4.potato.1.diff.gz; http://security.debian.org/dists/stable/updates/main/source/xtel_3.2.1-4.potato.1.dsc; http://security.debian.org/dists/stable/updates/main/source/xtel_3.2.1.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/xtel_3.2.1-4.potato.1_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/xtel_3.2.1-4.potato.1_arm.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/xtel_3.2.1-4.potato.1_m68k.deb
Intel IA-32:: http://security.debian.org/dists/stable/updates/main/binary-i386/xtel_3.2.1-4.potato.1_i386.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/xtel_3.2.1-4.potato.1_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/xtel_3.2.1-4.potato.1_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.