Bulletin d'alerte Debian

DSA-090-1 xtel -- Attaque par des liens symboliques

Date du rapport:

5 décembre 2001

Paquets concernés:

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identificateur BugTraq 3626.
Dans le dictionnaire CVE du Mitre : CVE-2002-0334.

Pour plus d'information:

Le paquet xtel (un émulateur de minitel pour X) qui est distribué avec Debian GNU/Linux 2.2 peut être la proie de deux attaques au moyen de liens symboliques.

xteld crée un fichier temporaire /tmp/.xtel-<user> sans vérifier les liens symboliques.
En imprimant une copie sur le disque dur, xtel créera un ficher temporaire sans se protéger contre une attaque sur les liens symboliques.

Les deux problèmes ont été résolus dans la version 3.2.1-4.potato.1.

Corrigé dans:

Debian GNU/Linux 2.2 (potato)

Source :: http://security.debian.org/dists/stable/updates/main/source/xtel_3.2.1-4.potato.1.diff.gz; http://security.debian.org/dists/stable/updates/main/source/xtel_3.2.1-4.potato.1.dsc; http://security.debian.org/dists/stable/updates/main/source/xtel_3.2.1.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/xtel_3.2.1-4.potato.1_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/xtel_3.2.1-4.potato.1_arm.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/xtel_3.2.1-4.potato.1_m68k.deb
Intel IA-32:: http://security.debian.org/dists/stable/updates/main/binary-i386/xtel_3.2.1-4.potato.1_i386.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/xtel_3.2.1-4.potato.1_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/xtel_3.2.1-4.potato.1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.