Aviso de seguridad de Debian

DSA-340-1 x-face-el -- archivo temporal inseguro

Fecha del informe:

6 de jul de 2003

Paquetes afectados:

x-face-el

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

No se dispone, de momento, de referencias a otras bases de datos de seguridad externas.

Información adicional:

NOTA: debido a una combinación de problemas administrativos, este aviso fue publicado erróneamente con el identificador «DSA-338-1». El DSA-338-1 correcto hace referencia a un aviso anterior que trataba sobre proftpd.

x-face-el, un decodificador para imágenes incluídas en la línea de encabezados del correo de X-Face, no tomaba las precauciones de seguridad adecuadas al crear archivos temporales. Este error podría ser aprovechado potencialmente para sobreescribir archivos arbitrarios con los privilegios del usuario que estuviera corriendo Emacs y x-face-el, potencialmente con los contenidos suministrados por el atacante.

Para la distribución estable (woody), este problema se ha corregido en la versión 1.3.6.19-1woody1.

Para la distribución inestable (sid), este problema se ha corregido en la versión 1.3.6.23-1.

Le recomendamos que actualice el paquete x-face-el.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:: http://security.debian.org/pool/updates/main/x/x-face-el/x-face-el_1.3.6.19-1woody1.dsc; http://security.debian.org/pool/updates/main/x/x-face-el/x-face-el_1.3.6.19-1woody1.diff.gz; http://security.debian.org/pool/updates/main/x/x-face-el/x-face-el_1.3.6.19.orig.tar.gz
Componentes independientes de la arquitectura:: http://security.debian.org/pool/updates/main/x/x-face-el/x-face-el_1.3.6.19-1woody1_all.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.