Debian Security Advisory

DSA-202-1 im -- 不安全的暫存檔案

報告日期:

2002/12/03

受影響的軟件:

im

可被襲擊:

是

Security database references:

In the Bugtraq database (at SecurityFocus): BugTraq ID 6307.
In Mitre's CVE dictionary: CVE-2002-1395.

更詳盡的資訊:

Tatsuya Kinoshita 發現 IM 會生不安全的暫存檔案。IM 包含了 E-mail 與 NetNews 的介面與 Perl 函式庫等。

impwagent 這支程式會用不安全的方式，在 /tmp 下產生一個可以預測名稱的暫存目錄，而且不會檢查 mkdir 的回傳值。所以有可能會使用其他用戶產生的暫存目錄。
immknmz 這支程式會用不安全的方式，在 /tmp 下產生一個可以預測名稱的暫存目錄，所以在本機上的攻擊者可以很輕易地產生並覆寫這些暫存檔案。

這些問題已經在目前的穩定版 (woody) 的 141-18.1 版，還有舊的穩定版 (potato) 的 133-2.2 版，以及開發中版本 (sid) 的 141-20 版中修正。

我們建議您立刻更新您的 IM 套件。

修改於:

Debian GNU/Linux 2.2 (potato)

Source:: http://security.debian.org/pool/updates/main/i/im/im_133-2.3.dsc; http://security.debian.org/pool/updates/main/i/im/im_133-2.3.diff.gz; http://security.debian.org/pool/updates/main/i/im/im_133.orig.tar.gz
Architecture-independent component:: http://security.debian.org/pool/updates/main/i/im/im_133-2.3_all.deb

Debian GNU/Linux 3.0 (woody)

Source:: http://security.debian.org/pool/updates/main/i/im/im_141-18.2.dsc; http://security.debian.org/pool/updates/main/i/im/im_141-18.2.diff.gz; http://security.debian.org/pool/updates/main/i/im/im_141.orig.tar.gz
Architecture-independent component:: http://security.debian.org/pool/updates/main/i/im/im_141-18.2_all.deb

MD5 checksums of the listed files are available in the original advisory.

MD5 checksums of the listed files are available in the revised advisory.

This page is also available in the following languages:

dansk Deutsch English español français 日本語 (Nihongo) Português Русский (Russkij) suomi svenska 中文(简) 中文(HK) 中文(繁)

如何設置預設語言

To report a problem with the web site, e-mail debian-www@lists.debian.org. For other contact information, see the Debian contact page.

最近修訂日期: 2008年8月31日星期日 00:03:08 UTC
版權所有 © 2002-2008 SPI; 查閱許可證條款
Debian is a registered trademark of Software in the Public Interest, Inc.