Bulletin d'alerte Debian

DSA-202-1 im -- Fichiers temporaires non sécurisés

Date du rapport :
3 décembre 2002
Paquets concernés :
im
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 6307.
Dans le dictionnaire CVE du Mitre : CVE-2002-1395.
Plus de précisions :

Tatsuya Kinoshita a découvert que IM, qui contient des commandes d'interface et des bibliothèques Perl pour le courriel et NetNews, crée des fichiers temporaires de manière non sécurisée.

  • Le programme impwagent crée un répertoire temporaire de manière non sécurisée dans /tmp en utilisant des noms de répertoire prédictibles et sans vérifier la valeur de retour de mkdir. Ainsi, il est possible de récupérer les permissions du répertoire temporaire avec un accès local en tant qu'un autre utilisateur.
  • Le programme immknmz crée un fichier temporaire de manière non sécurisée dans /tmp en utilisant un nom de fichier prédictible. Ainsi un attaquant avec un accès local peut facilement créer et écraser des fichiers d'un autre utilisateur.

Ces problèmes ont été corrigés dans la version 141-18.1 pour l'actuelle distribution stable (Woody), dans la version 133-2.2 pour l'ancienne distribution stable (Potato) et dans la version 141-20 pour la distribution instable (Sid).

Nous recommandons la mise à jour de votre paquet im.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :
http://security.debian.org/pool/updates/main/i/im/im_133-2.3.dsc
http://security.debian.org/pool/updates/main/i/im/im_133-2.3.diff.gz
http://security.debian.org/pool/updates/main/i/im/im_133.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/i/im/im_133-2.3_all.deb

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/main/i/im/im_141-18.2.dsc
http://security.debian.org/pool/updates/main/i/im/im_141-18.2.diff.gz
http://security.debian.org/pool/updates/main/i/im/im_141.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/i/im/im_141-18.2_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.

Les sommes MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.