Alerta de Segurança Debian
DSA-202-1 im -- arquivos temporários inseguros
- Data do Alerta:
- 03 Dez 2002
- Pacotes Afetados:
- im
- Vulnerável:
- Sim
- Referência à base de dados de segurança:
- Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 6307.
No dicionário CVE do Mitre: CVE-2002-1395. - Informações adicionais:
-
Tatsuya Kinoshita descobriu que o IM, que contém comandos de interface e bibliotecas do Perl para E-mail e NetNews, cria arquivos temporários de forma insegura.
- O programa impwagent cria um diretório temporário de uma maneira insegura em /tmp usando nomes de diretórios previsíveis sem checar o código de retorno do mkdir, então é possível pegar a permissão de um diretório temporário acessando a máquina localmente como um usuário qualquer.
- O programa immknmz cria um arquivo temporário de maneira insegura em /tmp usando um nome de arquivo previsível, então o atacante com acesso local pode facilmente criar e sobrescrever arquivos como outro usuário.
Esses problemas foram corrigidos na versão 141-18.1 para a atual distribuição estável (woody), na versão 133-2.2 para a antiga distribuição estável (potato) e na versão 141-20 para a distribuição instável (sid).
Nós recomendamos que você atualize seu pacote IM.
- Corrigido em:
-
Debian GNU/Linux 2.2 (potato)
- Fonte:
- http://security.debian.org/pool/updates/main/i/im/im_133-2.3.dsc
- http://security.debian.org/pool/updates/main/i/im/im_133-2.3.diff.gz
- http://security.debian.org/pool/updates/main/i/im/im_133.orig.tar.gz
- http://security.debian.org/pool/updates/main/i/im/im_133-2.3.diff.gz
- Componente independente de arquitetura:
- http://security.debian.org/pool/updates/main/i/im/im_133-2.3_all.deb
Debian GNU/Linux 3.0 (woody)
- Fonte:
- http://security.debian.org/pool/updates/main/i/im/im_141-18.2.dsc
- http://security.debian.org/pool/updates/main/i/im/im_141-18.2.diff.gz
- http://security.debian.org/pool/updates/main/i/im/im_141.orig.tar.gz
- http://security.debian.org/pool/updates/main/i/im/im_141-18.2.diff.gz
- Componente independente de arquitetura:
- http://security.debian.org/pool/updates/main/i/im/im_141-18.2_all.deb
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.
Checksums MD5 dos arquivos listados estão disponíveis no alerta revisado.