Debian 安全報告

DSA-202-1 im -- 不安全的暫存檔案

報告日期:
2002/12/03
受影響的軟件:
im
可被襲擊:
參考的安全性資料庫:
在 SecurityFocus 的 Bugtraq 資料庫中: 臭蟲 ID 6307.
在 Mitre's CVE 的目錄中: CVE-2002-1395.
更詳盡的資訊:

Tatsuya Kinoshita 發現 IM 會生不安全的暫存檔案。IM 包含了 E-mail 與 NetNews 的介面與 Perl 函式庫等。

  • impwagent 這支程式會用不安全的方式,在 /tmp 下產生一個可以預測名稱的暫存目錄,而且不會檢查 mkdir 的回傳值。所以有可能會使用其他用戶產生 的暫存目錄。
  • immknmz 這支程式會用不安全的方式,在 /tmp 下產生一個可以預測名稱的暫存目錄,所以在本機上的攻擊者可以很輕易地產生並覆寫這些暫存檔案。

這些問題已經在目前的穩定版 (woody) 的 141-18.1 版,還有舊的穩定版 (potato) 的 133-2.2 版,以及開發中版本 (sid) 的 141-20 版中修正。

我們建議您立刻更新您的 IM 套件。

修改於:

Debian GNU/Linux 2.2 (potato)

來源:
http://security.debian.org/pool/updates/main/i/im/im_133-2.3.dsc
http://security.debian.org/pool/updates/main/i/im/im_133-2.3.diff.gz
http://security.debian.org/pool/updates/main/i/im/im_133.orig.tar.gz
與硬件無關的元件:
http://security.debian.org/pool/updates/main/i/im/im_133-2.3_all.deb

Debian GNU/Linux 3.0 (woody)

來源:
http://security.debian.org/pool/updates/main/i/im/im_141-18.2.dsc
http://security.debian.org/pool/updates/main/i/im/im_141-18.2.diff.gz
http://security.debian.org/pool/updates/main/i/im/im_141.orig.tar.gz
與硬件無關的元件:
http://security.debian.org/pool/updates/main/i/im/im_141-18.2_all.deb

列出的檔案的 MD5 檢查可以由 original advisory 取得。

列出的檔案的 MD5 檢查可以由 revised advisory 取得。