Рекомендация Debian по безопасности

nvi -- некорректное удаление файлов в сценарии загрузки

Дата сообщения:
08.01.2000
Затронутые пакеты:
nvi
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2000-0076.
Более подробная информация:
Версия nvi, поставляемая в составе Debian GNU/Linux 2.1, содержит ошибку в сценарии /etc/init.d/nviboot по умолчанию: программа некорректно обрабатывает имена файлов, содержащие пробелы. Поэтому можно удалять файлы в корневом каталоге путём создания записей в файле /var/tmp/vi.recover.

Эта уязвимость была исправлена в версии 1.79-9.1. Рекомендуется как можно скорее обновить пакет nvi.

Если вы используете собственную версию nviboot, то убедитесь, что ваша версия не содержит указанной проблемы. Если вы выполните обновление, dpkg в случае необходимости предложит вам заменить вашу версию на новую безопасную версию.

Исправлено в:
Исходный код:
http://security.debian.org/dists/slink/updates/source/nvi_1.79-9.1.diff.gz
http://security.debian.org/dists/slink/updates/source/nvi_1.79-9.1.dsc
http://security.debian.org/dists/slink/updates/source/nvi_1.79.orig.tar.gz
alpha:
http://security.debian.org/dists/slink/updates/binary-alpha/nvi_1.79-9.1_alpha.deb
i386:
http://security.debian.org/dists/slink/updates/binary-i386/nvi_1.79-9.1_i386.deb
m68k:
http://security.debian.org/dists/slink/updates/binary-m68k/nvi_1.79-9.1_m68k.deb
sparc:
http://security.debian.org/dists/slink/updates/binary-sparc/nvi_1.79-9.1_sparc.deb