Debian-Sicherheitsankündigung

DSA-004-1 nano -- Symlink-Angriff

Datum des Berichts:
17. Dez 2000
Betroffene Pakete:
nano, nano-tiny
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
Im Augenblick ist keine weitere externe Sicherheitsdatenbank-Referenz verfügbar.
Weitere Informationen:
Das Problem, das zunächst für joe berichtet wurde, wurde auch in anderen Editoren gefunden. Wenn nano (ein freier pico-Nachbau) unerwartet beendet wird, versucht das Programm, eine Warnnachricht in eine neue Datei mit vorhersagbarem Namen zu schreiben (an den Namen der Datei, die gerade bearbeitet wurde, wird ».save« angehängt). Unglücklicherweise wurde diese Datei nicht sicher erstellt, wodurch nano für einen Symlink-Angriff verwundbar wurde.

Dies wurde in Version 0.9.23-1 behoben (außer für PowerPC, der Version 0.9.23-1.1 enthält).

Behoben in:

Debian 2.2 (potato)

Quellcode:
http://security.debian.org/dists/stable/updates/main/source/nano_0.9.23-1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/nano_0.9.23-1.dsc
http://security.debian.org/dists/stable/updates/main/source/nano_0.9.23.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/nano-tiny_0.9.23-1_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/nano_0.9.23-1_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/nano-tiny_0.9.23-1_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/nano_0.9.23-1_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/nano-tiny_0.9.23-1_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/nano_0.9.23-1_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/nano-tiny_0.9.23-1_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/nano_0.9.23-1_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/nano-tiny_0.9.23-1.1_powerpc.deb
http://security.debian.org/dists/stable/updates/main/binary-powerpc/nano_0.9.23-1.1_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/nano-tiny_0.9.23-1_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/nano_0.9.23-1_sparc.deb