Debianin tietoturvatiedote
DSA-202-1 im -- epäluotettavat väliaikaistiedostot
- Ilmoitettu:
- 3.12.2002
- Vaikutuksen alaiset paketit:
- im
- Altis:
- Kyllä
- Viittaukset tietoturvatietokantoihin:
- Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 6307.
Mitren CVE-sanakirjassa: CVE-2002-1395. - Lisätietoa:
-
Tatsuya Kinoshita havaitsi että IM, joka sisältää käyttöliittymäkomentoja ja Perl-kirjastoja sähköpostille ja NetNews:ille, luo väliaikaiset tiedostot epäluotettavalla tavalla.
- impwagent-ohjelma luo väliaikaisen hakemiston epäluotettavalla tavalla /tmp-hakemistoon käyttämällä arvattavia hakemistonimiä tarkistamatta mkdir-komennon palautuskoodia, mikä mahdollistaa sen että väliaikaishakemiston käyttöoikeudet on mahdollista siepata paikallisesti jollain muulla käyttäjätunnuksella.
- immknmz-ohjelma luo väliaikaisen tiedoston epäluotettavalla tavalla /tmp-hakemistoon käyttämällä arvattavaa tiedostonimeä, jolloin paikallinen hyökkääjä voi helposti luoda ja ylikirjoittaa tiedostoja jollain muulla käyttäjätunnuksella.
Nämä ongelmat on korjattu nykyisen vakaan julkaisun (woody) versiossa 141-18.1, aiemman vakaan jakelun (potato) versiossa 133-2.2 ja epävakaan jakelun (sid) versiossa 141-20.
Suosittelemme päivittämään IM-paketin.
- Korjattu:
-
Debian GNU/Linux 2.2 (potato)
- Lähde:
- http://security.debian.org/pool/updates/main/i/im/im_133-2.3.dsc
- http://security.debian.org/pool/updates/main/i/im/im_133-2.3.diff.gz
- http://security.debian.org/pool/updates/main/i/im/im_133.orig.tar.gz
- http://security.debian.org/pool/updates/main/i/im/im_133-2.3.diff.gz
- Arkkitehtuuririippumaton komponentti:
- http://security.debian.org/pool/updates/main/i/im/im_133-2.3_all.deb
Debian GNU/Linux 3.0 (woody)
- Lähde:
- http://security.debian.org/pool/updates/main/i/im/im_141-18.2.dsc
- http://security.debian.org/pool/updates/main/i/im/im_141-18.2.diff.gz
- http://security.debian.org/pool/updates/main/i/im/im_141.orig.tar.gz
- http://security.debian.org/pool/updates/main/i/im/im_141-18.2.diff.gz
- Arkkitehtuuririippumaton komponentti:
- http://security.debian.org/pool/updates/main/i/im/im_141-18.2_all.deb
Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.
Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa tarkistetusta tiedotteesta.