Colin Phipps a découvert plusieurs problèmes dans mime-support, qui contient les programmes offrant les fonctionnalités pour le contrôle de fichiers MIME comme mime.types et mailcap. Quand un fichier temporaire doit être utilisé, il est créé de manière non sécurisée, permettant à un attaquant d'écraser n'importe quel fichier avec l'identité de l'utilisateur utilisant run-mailcap.
Lorsque run-mailcap est exécuté sur un fichier avec un nom de fichier potentiellement problématique, un fichier temporaire est créé (qui n'est plus insécurisé), enlevé, puis un lien symbolique vers ce nom de fichier est créé. Un assaillant pourrait recréer le fichier que le lien symbolique ne soit créé, forçant ainsi le programme d'affichage à afficher différents contenus.
Pour la distribution stable (Woody), ces problèmes ont été corrigés dans la version 3.18-1.3.
Pour l'ancienne distribution stable (Potato), ces problèmes ont été corrigés dans version 3.9-1.3.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 3.23-1.
Nous vous recommandons de mettre à jour vos paquets mime-support.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.
Les sommes MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.
Les sommes MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.