Debian 安全报告

DSA-202-1 im -- 不安全的暂存档案

报告日期:

2002/12/03

受影响的软件:

im

可被袭击:

是

参考的安全性数据库:

在 SecurityFocus 的 Bugtraq 数据库中: 臭虫 ID 6307.
在 Mitre's CVE 的目录中: CVE-2002-1395.

更详尽的信息:

Tatsuya Kinoshita 发现 IM 会生不安全的暂存档案。IM 包含了 E-mail 与 NetNews 的界面与 Perl 程序库等。

impwagent 这支程序会用不安全的方式，在 /tmp 下产生一个可以预测名称的暂存目录，而且不会检查 mkdir 的回传值。所以有可能会使用其他用户产生的暂存目录。
immknmz 这支程序会用不安全的方式，在 /tmp 下产生一个可以预测名称的暂存目录，所以在本机上的攻击者可以很轻易地产生并覆写这些暂存档案。

这些问题已经在目前的稳定版 (woody) 的 141-18.1 版，还有旧的稳定版 (potato) 的 133-2.2 版，以及开发中版本 (sid) 的 141-20 版中修正。

我们建议您立刻更新您的 IM 软件包。

修改于:

Debian GNU/Linux 2.2 (potato)

来源:: http://security.debian.org/pool/updates/main/i/im/im_133-2.3.dsc; http://security.debian.org/pool/updates/main/i/im/im_133-2.3.diff.gz; http://security.debian.org/pool/updates/main/i/im/im_133.orig.tar.gz
与硬件无关的元件:: http://security.debian.org/pool/updates/main/i/im/im_133-2.3_all.deb

Debian GNU/Linux 3.0 (woody)

来源:: http://security.debian.org/pool/updates/main/i/im/im_141-18.2.dsc; http://security.debian.org/pool/updates/main/i/im/im_141-18.2.diff.gz; http://security.debian.org/pool/updates/main/i/im/im_141.orig.tar.gz
与硬件无关的元件:: http://security.debian.org/pool/updates/main/i/im/im_141-18.2_all.deb

列出的档案的 MD5 检查可以由 original advisory 取得。

列出的档案的 MD5 检查可以由 revised advisory 取得。

本页其他语言版本如下

dansk Deutsch English español français 日本語 (Nihongo) Português Русский (Russkij) suomi svenska 中文(简) 中文(HK) 中文(繁)

如何设置缺省语言

回报本网页的问题，请以英文撰写，寄信到 debian-www@lists.debian.org。其他联络讯息请看 Debian contact page。回报本网页翻译的问题，请寄信到 debian-chinese-big5@lists.debian.org。

最近修订日期: 2009年11月7日星期六 20:04:42 UTC
版权所有 © 2002-2009 SPI; 查阅许可证条款
Debian 是 Software in the Public Interest, Inc. 的注册商标。