Debian 安全报告

DSA-202-1 im -- 不安全的暂存档案

报告日期:
2002/12/03
受影响的软件:
im
可被袭击:
参考的安全性数据库:
在 SecurityFocus 的 Bugtraq 数据库中: 臭虫 ID 6307.
在 Mitre's CVE 的目录中: CVE-2002-1395.
更详尽的信息:

Tatsuya Kinoshita 发现 IM 会生不安全的暂存档案。IM 包含了 E-mail 与 NetNews 的界面与 Perl 程序库等。

  • impwagent 这支程序会用不安全的方式,在 /tmp 下产生一个可以预测名称的暂存目录,而且不会检查 mkdir 的回传值。所以有可能会使用其他用户产生 的暂存目录。
  • immknmz 这支程序会用不安全的方式,在 /tmp 下产生一个可以预测名称的暂存目录,所以在本机上的攻击者可以很轻易地产生并覆写这些暂存档案。

这些问题已经在目前的稳定版 (woody) 的 141-18.1 版,还有旧的稳定版 (potato) 的 133-2.2 版,以及开发中版本 (sid) 的 141-20 版中修正。

我们建议您立刻更新您的 IM 软件包。

修改于:

Debian GNU/Linux 2.2 (potato)

来源:
http://security.debian.org/pool/updates/main/i/im/im_133-2.3.dsc
http://security.debian.org/pool/updates/main/i/im/im_133-2.3.diff.gz
http://security.debian.org/pool/updates/main/i/im/im_133.orig.tar.gz
与硬件无关的元件:
http://security.debian.org/pool/updates/main/i/im/im_133-2.3_all.deb

Debian GNU/Linux 3.0 (woody)

来源:
http://security.debian.org/pool/updates/main/i/im/im_141-18.2.dsc
http://security.debian.org/pool/updates/main/i/im/im_141-18.2.diff.gz
http://security.debian.org/pool/updates/main/i/im/im_141.orig.tar.gz
与硬件无关的元件:
http://security.debian.org/pool/updates/main/i/im/im_141-18.2_all.deb

列出的档案的 MD5 检查可以由 original advisory 取得。

列出的档案的 MD5 检查可以由 revised advisory 取得。