Debian セキュリティ勧告

DSA-202-1 im -- 安全でないテンポラリファイル

報告日時:
2002-12-03
影響を受けるパッケージ:
im
危険性:
あり
参考セキュリティデータベース:
(SecurityFocus の) Bugtraq データベース: BugTraq ID 6307.
Mitre の CVE 辞書: CVE-2002-1395.
詳細:

木下達也さんにより、IM に 安全でないやり方でテンポラリファイルを生成するという問題が発見されました。 IM は、E-メールとネットニュースのためのインターフェイスコマンドおよび Perl ライブラリです。

  • impwagent プログラムは、/tmp 以下に、安全でない方法で、予測可能な ディレクトリ名を用いてテンポラリディレクトリを作成し、その際に mkdir の戻り値をチェックしないため、ローカルから他のユーザの作成した テンポラリファイルの権限を掌握することができてしまいます。
  • immknmz プログラムは、/tmp の中に、予測可能なファイル名をもった テンポラリファイルを安全でない方法で作成し、そのため、ローカルにアクセス権を もった攻撃者は、他のユーザをかたって簡単にファイルの生成や上書きを することができます。

これらの問題は、現安定版 (stable)(woody) ではバージョン 141-18.1 で、 旧安定版 (potato) ではバージョン 133-2.2 で、 不安定版 (unstable)(sid) ではバージョン 141-20 で各々修正されています。

IM パッケージをアップグレードすることをお勧めします。

修正:

Debian GNU/Linux 2.2 (potato)

ソース:
http://security.debian.org/pool/updates/main/i/im/im_133-2.3.dsc
http://security.debian.org/pool/updates/main/i/im/im_133-2.3.diff.gz
http://security.debian.org/pool/updates/main/i/im/im_133.orig.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/i/im/im_133-2.3_all.deb

Debian GNU/Linux 3.0 (woody)

ソース:
http://security.debian.org/pool/updates/main/i/im/im_141-18.2.dsc
http://security.debian.org/pool/updates/main/i/im/im_141-18.2.diff.gz
http://security.debian.org/pool/updates/main/i/im/im_141.orig.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/i/im/im_141-18.2_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。

一覧にあるファイルの MD5 チェックサムは勧告の原文 (改訂版) にあります。