Debian-Sicherheitsankündigung

DSA-041-1 joe -- Lokaler Exploit

Datum des Berichts:

09. Mär 2001

Betroffene Pakete:

joe

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 2437.
In Mitres CVE-Verzeichnis: CVE-2001-0289.

Weitere Informationen:

Christer Öberg des Wkit Security AB hat ein Problem in joe (Joe's Own Editor) gefunden. joe such an drei Orten nach einer Konfigurationsdatei: Dem aktuellen Verzeichnis, dem Home-Verzeichnis ($HOME) des Benutzers und in /etc/joe. Da die Konfigurationsdatei Befehle definieren kann, die joe ausführt (zum Beispiel, um die Rechtschreibung zu prüfen), kann das Lesen aus dem aktuellen Verzeichnis gefährlich sein: Ein Angreifer hinterlässt eine .joerc Datei in einem beschreibbaren Verzeichnis, die gelesen wird, wenn ein ahnungsloser Benutzer joe in diesem Verzeichnis startet.

Dies wurde in Version 2.8-15.3 behoben und wir empfehlen Ihnen, Ihr joe-Paket unverzüglich zu aktualisieren.

Behoben in:

Debian 2.2 (potato)

Quellcode:: http://security.debian.org/dists/stable/updates/main/source/joe_2.8-15.3.diff.gz; http://security.debian.org/dists/stable/updates/main/source/joe_2.8-15.3.dsc; http://security.debian.org/dists/stable/updates/main/source/joe_2.8.orig.tar.gz
alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/joe_2.8-15.3_alpha.deb
arm:: http://security.debian.org/dists/stable/updates/main/binary-arm/joe_2.8-15.3_arm.deb
i386:: http://security.debian.org/dists/stable/updates/main/binary-i386/joe_2.8-15.3_i386.deb
m68k:: http://security.debian.org/dists/stable/updates/main/binary-m68k/joe_2.8-15.3_m68k.deb
powerpc:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/joe_2.8-15.3_powerpc.deb
sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/joe_2.8-15.3_sparc.deb