Bulletin d'alerte Debian

nvi -- Effacement incorrect de fichiers dans un script de démarrage

Date du rapport :
8 janvier 2000
Paquets concernés :
nvi
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2000-0076.
Plus de précisions :
La version de nvi distribuée avec Debian GNU/Linux 2.1 contenait une erreur dans le script par défaut /etc/init.d/nviboot : il ne manipulait pas les fichiers contenant des espaces. Cela rendait possible la suppression de fichiers dans le répertoire racine en créant des entrées dans /var/tmp/vi.recover.

Ce problème a été résolu dans la version 1.79-9.1. Nous recommandons la mise à jour immédiate de votre paquet nvi.

Si vous utilisez une version personnalisée de nviboot, veuillez vous assurez que votre version n'est pas affectée par ce problème. Si vous faîtes une mise à jour, dpkg vous proposera de le remplacer par une version sûre si nécessaire.

Corrigé dans :
Source :
http://security.debian.org/dists/slink/updates/source/nvi_1.79-9.1.diff.gz
http://security.debian.org/dists/slink/updates/source/nvi_1.79-9.1.dsc
http://security.debian.org/dists/slink/updates/source/nvi_1.79.orig.tar.gz
alpha:
http://security.debian.org/dists/slink/updates/binary-alpha/nvi_1.79-9.1_alpha.deb
i386:
http://security.debian.org/dists/slink/updates/binary-i386/nvi_1.79-9.1_i386.deb
m68k:
http://security.debian.org/dists/slink/updates/binary-m68k/nvi_1.79-9.1_m68k.deb
sparc:
http://security.debian.org/dists/slink/updates/binary-sparc/nvi_1.79-9.1_sparc.deb