Debian 安全报告
DSA-202-1 im -- 不安全的暂存档案
- 报告日期:
- 2002/12/03
- 受影响的软件:
- im
- 可被袭击:
- 是
- 参考的安全性数据库:
- 在 SecurityFocus 的 Bugtraq 数据库中: 臭虫 ID 6307.
在 Mitre's CVE 的目录中: CVE-2002-1395. - 更详尽的信息:
-
Tatsuya Kinoshita 发现 IM 会生不安全的暂存档案。IM 包含了 E-mail 与 NetNews 的界面与 Perl 程序库等。
- impwagent 这支程序会用不安全的方式,在 /tmp 下产生一个可以预测名称的暂存目录,而且不会检查 mkdir 的回传值。所以有可能会使用其他用户产生 的暂存目录。
- immknmz 这支程序会用不安全的方式,在 /tmp 下产生一个可以预测名称的暂存目录,所以在本机上的攻击者可以很轻易地产生并覆写这些暂存档案。
这些问题已经在目前的稳定版 (woody) 的 141-18.1 版,还有旧的稳定版 (potato) 的 133-2.2 版,以及开发中版本 (sid) 的 141-20 版中修正。
我们建议您立刻更新您的 IM 软件包。
- 修改于:
-
Debian GNU/Linux 2.2 (potato)
- 来源:
- http://security.debian.org/pool/updates/main/i/im/im_133-2.3.dsc
- http://security.debian.org/pool/updates/main/i/im/im_133-2.3.diff.gz
- http://security.debian.org/pool/updates/main/i/im/im_133.orig.tar.gz
- http://security.debian.org/pool/updates/main/i/im/im_133-2.3.diff.gz
- 与硬件无关的元件:
- http://security.debian.org/pool/updates/main/i/im/im_133-2.3_all.deb
Debian GNU/Linux 3.0 (woody)
- 来源:
- http://security.debian.org/pool/updates/main/i/im/im_141-18.2.dsc
- http://security.debian.org/pool/updates/main/i/im/im_141-18.2.diff.gz
- http://security.debian.org/pool/updates/main/i/im/im_141.orig.tar.gz
- http://security.debian.org/pool/updates/main/i/im/im_141-18.2.diff.gz
- 与硬件无关的元件:
- http://security.debian.org/pool/updates/main/i/im/im_141-18.2_all.deb
列出的档案的 MD5 检查可以由 original advisory 取得。
列出的档案的 MD5 检查可以由 revised advisory 取得。