Debianin tietoturvatiedote

DSA-202-1 im -- epäluotettavat väliaikaistiedostot

Ilmoitettu:
3.12.2002
Vaikutuksen alaiset paketit:
im
Altis:
Kyllä
Viittaukset tietoturvatietokantoihin:
Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 6307.
Mitren CVE-sanakirjassa: CVE-2002-1395.
Lisätietoa:

Tatsuya Kinoshita havaitsi että IM, joka sisältää käyttöliittymäkomentoja ja Perl-kirjastoja sähköpostille ja NetNews:ille, luo väliaikaiset tiedostot epäluotettavalla tavalla.

  • impwagent-ohjelma luo väliaikaisen hakemiston epäluotettavalla tavalla /tmp-hakemistoon käyttämällä arvattavia hakemistonimiä tarkistamatta mkdir-komennon palautuskoodia, mikä mahdollistaa sen että väliaikaishakemiston käyttöoikeudet on mahdollista siepata paikallisesti jollain muulla käyttäjätunnuksella.
  • immknmz-ohjelma luo väliaikaisen tiedoston epäluotettavalla tavalla /tmp-hakemistoon käyttämällä arvattavaa tiedostonimeä, jolloin paikallinen hyökkääjä voi helposti luoda ja ylikirjoittaa tiedostoja jollain muulla käyttäjätunnuksella.

Nämä ongelmat on korjattu nykyisen vakaan julkaisun (woody) versiossa 141-18.1, aiemman vakaan jakelun (potato) versiossa 133-2.2 ja epävakaan jakelun (sid) versiossa 141-20.

Suosittelemme päivittämään IM-paketin.

Korjattu:

Debian GNU/Linux 2.2 (potato)

Lähde:
http://security.debian.org/pool/updates/main/i/im/im_133-2.3.dsc
http://security.debian.org/pool/updates/main/i/im/im_133-2.3.diff.gz
http://security.debian.org/pool/updates/main/i/im/im_133.orig.tar.gz
Arkkitehtuuririippumaton komponentti:
http://security.debian.org/pool/updates/main/i/im/im_133-2.3_all.deb

Debian GNU/Linux 3.0 (woody)

Lähde:
http://security.debian.org/pool/updates/main/i/im/im_141-18.2.dsc
http://security.debian.org/pool/updates/main/i/im/im_141-18.2.diff.gz
http://security.debian.org/pool/updates/main/i/im/im_141.orig.tar.gz
Arkkitehtuuririippumaton komponentti:
http://security.debian.org/pool/updates/main/i/im/im_141-18.2_all.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa tarkistetusta tiedotteesta.