Säkerhetsbulletin från Debian

nvi -- inkorrekt filborttagning i startskript

Rapporterat den:
2000-01-08
Berörda paket:
nvi
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2000-0076.
Ytterligare information:
Versionen av nvi som medföljde Debian GNU/Linux 2.1 har ett fel i det medsända /etc/init.d/nviboot-skriptet: det hanterade inte filnamn med inbäddade mellanslag korrekt. Detta gjorde det möjligt att ta bort filer i rotkatalogen genom att skapa poster i /var/tmp/vi.recover.

Detta har rättats i version 1.79-9.1. Vi rekommenderar att du uppgraderar ditt nvi-paket omedelbart.

Om du använder en skräddarsydd version av nviboot, se till att din version inte har samma problem. Om du uppgraderar kommer dpkg att ge dig möjligheten att ersätta den med en säker version om så behövs.

Rättat i:
Källkod:
http://security.debian.org/dists/slink/updates/source/nvi_1.79-9.1.diff.gz
http://security.debian.org/dists/slink/updates/source/nvi_1.79-9.1.dsc
http://security.debian.org/dists/slink/updates/source/nvi_1.79.orig.tar.gz
alpha:
http://security.debian.org/dists/slink/updates/binary-alpha/nvi_1.79-9.1_alpha.deb
i386:
http://security.debian.org/dists/slink/updates/binary-i386/nvi_1.79-9.1_i386.deb
m68k:
http://security.debian.org/dists/slink/updates/binary-m68k/nvi_1.79-9.1_m68k.deb
sparc:
http://security.debian.org/dists/slink/updates/binary-sparc/nvi_1.79-9.1_sparc.deb