Säkerhetsbulletin från Debian

DSA-202-1 im -- osäkra temporära filer

Rapporterat den:
2002-12-03
Berörda paket:
im
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 6307.
I Mitres CVE-förteckning: CVE-2002-1395.
Ytterligare information:

Tatsuya Kinoshita upptäckte att IM, som innehåller gränssnitt och Perlbibliotek för e-post och diskussionsgrupper, skapar temporära filer på ett osäkert sätt.

  • Programmet impwagent skapar en temporär katalog i /tmp på ett osäkert sätt med förutsägbara namn utan att testa returvärdet från mkdir, så det är möjligt att få tillgång till den temporära katalogen via en lokal anslutning som en annan användare.
  • Programmet immknmz skapar en temporär katalog i /tmp på ett osäkert sätt med förutsägbart namn, så en angripare med lokal tillgång kan enkelt ändra och skriva över filer som en annan användare.

Dessa problem har rättats i version 141-18.1 för den nuvarande stabila utgåvan (Woody), i version 133-2.2 för den gamla stabila utgåvan (potato) samt i version 141-20 för den instabila utgåvan (Sid).

Vi rekommenderar att ni uppgraderar ert IM-paket.

Rättat i:

Debian GNU/Linux 2.2 (potato)

Källkod:
http://security.debian.org/pool/updates/main/i/im/im_133-2.3.dsc
http://security.debian.org/pool/updates/main/i/im/im_133-2.3.diff.gz
http://security.debian.org/pool/updates/main/i/im/im_133.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/i/im/im_133-2.3_all.deb

Debian GNU/Linux 3.0 (woody)

Källkod:
http://security.debian.org/pool/updates/main/i/im/im_141-18.2.dsc
http://security.debian.org/pool/updates/main/i/im/im_141-18.2.diff.gz
http://security.debian.org/pool/updates/main/i/im/im_141.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/i/im/im_141-18.2_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.

MD5-kontrollsummor för dessa filer finns i reviderade bulletinen.