Debians sikkerhedsbulletin

DSA-041-1 joe -- lokalt angreb

Rapporteret den:

9. mar 2001

Berørte pakker:

joe

Sårbar:

Referencer i sikkerhedsdatabaser:

I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 2437.
I Mitres CVE-ordbog: CVE-2001-0289.

Yderligere oplysninger:

Christer Öberg fra Wkit Security AB fandt et problem i joe (Joe's Own Editor). joe kiggede efter en opsætningsfil tre forskellige steder: i den aktuelle mappe, brugeres hjemmemappe ($HOME) og i /etc/joe. Da opsætningsfilen kan definere kommandoer, som joe kan afvikle (for eksempel stavekontrol), er det farligt at læse den fra den aktuelle mappe: En angriber kan efterlade en .joerc-fil i en skrivbar mappe, som kunne blive læst når en intetanende bruger startede joe i den mappe.

Dette er blevet rettet i version 2.8-15.3 og vi anbefaler at du omgående opgraderer din joe-pakke.

Rettet i:

Debian 2.2 (potato)

Kildekode:: http://security.debian.org/dists/stable/updates/main/source/joe_2.8-15.3.diff.gz; http://security.debian.org/dists/stable/updates/main/source/joe_2.8-15.3.dsc; http://security.debian.org/dists/stable/updates/main/source/joe_2.8.orig.tar.gz
alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/joe_2.8-15.3_alpha.deb
arm:: http://security.debian.org/dists/stable/updates/main/binary-arm/joe_2.8-15.3_arm.deb
i386:: http://security.debian.org/dists/stable/updates/main/binary-i386/joe_2.8-15.3_i386.deb
m68k:: http://security.debian.org/dists/stable/updates/main/binary-m68k/joe_2.8-15.3_m68k.deb
powerpc:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/joe_2.8-15.3_powerpc.deb
sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/joe_2.8-15.3_sparc.deb