Debian セキュリティ勧告

nvi -- ブートスクリプトにおけるファイルの不正消去

報告日時:
2000-01-08
影響を受けるパッケージ:
nvi
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2000-0076.
詳細:
Debian GNU/Linux 2.1 で配布された nvi のバージョンは、 デフォルトの /etc/init.d/nviboot スクリプトにエラーがありました。 このスクリプトは、空白を含むファイル名を正しく処理できません。 ルートディレクトリにあるファイルを削除するために /var/tmp/vi.recover にエントリを作成することが、このエラーを利用することで可能になっています。

この問題は、バージョン 1.79-9.1 で修正されました。 すぐに nvi パッケージをアップグレードすることをお勧めします。

nviboot をカスタマイズして使用している場合は、 そのスクリプトに上の問題がないかどうか確認してください。 もし nvi をアップグレードした場合は、必要があれば、dpkg が安全なバージョンのスクリプトに入れ換えるかどうかを訊ねてきます。

修正:
ソース:
http://security.debian.org/dists/slink/updates/source/nvi_1.79-9.1.diff.gz
http://security.debian.org/dists/slink/updates/source/nvi_1.79-9.1.dsc
http://security.debian.org/dists/slink/updates/source/nvi_1.79.orig.tar.gz
alpha:
http://security.debian.org/dists/slink/updates/binary-alpha/nvi_1.79-9.1_alpha.deb
i386:
http://security.debian.org/dists/slink/updates/binary-i386/nvi_1.79-9.1_i386.deb
m68k:
http://security.debian.org/dists/slink/updates/binary-m68k/nvi_1.79-9.1_m68k.deb
sparc:
http://security.debian.org/dists/slink/updates/binary-sparc/nvi_1.79-9.1_sparc.deb