Debian-Sicherheitsankündigung

nvi -- Fehlerhafte Dateilöschung in boot-Skript

Datum des Berichts:
08. Jan 2000
Betroffene Pakete:
nvi
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2000-0076.
Weitere Informationen:
Die Version von nvi, die mit Debian GNU/Linux 2.1 verteilt wurde, hat einen Fehler im Standard /etc/init.d/nviboot Skript: Es behandelte Dateinamen mit Leerzeichen nicht korrekt. Dies machte es möglich, Dateien im root-Verzeichnis zu löschen, indem man Einträge in /var/tmp/vi.recover erstellt.

Dies wurde in Version 1.79-9.1 behoben. Wir empfehlen Ihnen, Ihr nvi-Paket unverzüglich zu aktualisieren.

Wenn Sie eine angepasste Version von nviboot verwenden, prüfen Sie bitte, dass ihre Version nicht für dieses Problem anfällig ist. Wenn Sie aktualisieren, wird Ihnen dpkg anbieten, sie mit der neuen sicheren Version zu ersetzen, falls benötigt.

Behoben in:
Quellcode:
http://security.debian.org/dists/slink/updates/source/nvi_1.79-9.1.diff.gz
http://security.debian.org/dists/slink/updates/source/nvi_1.79-9.1.dsc
http://security.debian.org/dists/slink/updates/source/nvi_1.79.orig.tar.gz
alpha:
http://security.debian.org/dists/slink/updates/binary-alpha/nvi_1.79-9.1_alpha.deb
i386:
http://security.debian.org/dists/slink/updates/binary-i386/nvi_1.79-9.1_i386.deb
m68k:
http://security.debian.org/dists/slink/updates/binary-m68k/nvi_1.79-9.1_m68k.deb
sparc:
http://security.debian.org/dists/slink/updates/binary-sparc/nvi_1.79-9.1_sparc.deb