Informations de sécurité / 2000 / Informations sur la sécurité -- DSA-004-1 nano

Bulletin d'alerte Debian

DSA-004-1 nano -- Attaque par lien symbolique

Date du rapport :

17 décembre 2000

Paquets concernés :

nano, nano-tiny

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.

Plus de précisions :

Le problème précédemment reporté pour joe se retrouve dans d'autres éditeurs. Lorsque nano (un clone libre de pico) se termine de façon inattendue, il tente d'insérer un message d'avertissement vers un nouveau fichier dont on peut prédire le nom (le nom du fichier est suivi d'un suffixe ".save"). Malheureusement, ce fichier n'est pas créé de manière sécurisée, ce qui rend nano sensible à une attaque par lien symbolique.

Ce problème a été résolu dans la version 0.9.23-1 (version 0.9.23-1.1 pour le powerpc).

Corrigé dans :

Debian 2.2 (potato)

Source :

http://security.debian.org/dists/stable/updates/main/source/nano_0.9.23-1.diff.gz

http://security.debian.org/dists/stable/updates/main/source/nano_0.9.23-1.dsc

http://security.debian.org/dists/stable/updates/main/source/nano_0.9.23.orig.tar.gz

alpha:

http://security.debian.org/dists/stable/updates/main/binary-alpha/nano-tiny_0.9.23-1_alpha.deb

http://security.debian.org/dists/stable/updates/main/binary-alpha/nano_0.9.23-1_alpha.deb

arm:

http://security.debian.org/dists/stable/updates/main/binary-arm/nano-tiny_0.9.23-1_arm.deb

http://security.debian.org/dists/stable/updates/main/binary-arm/nano_0.9.23-1_arm.deb

i386:

http://security.debian.org/dists/stable/updates/main/binary-i386/nano-tiny_0.9.23-1_i386.deb

http://security.debian.org/dists/stable/updates/main/binary-i386/nano_0.9.23-1_i386.deb

m68k:

http://security.debian.org/dists/stable/updates/main/binary-m68k/nano-tiny_0.9.23-1_m68k.deb

http://security.debian.org/dists/stable/updates/main/binary-m68k/nano_0.9.23-1_m68k.deb

powerpc:

http://security.debian.org/dists/stable/updates/main/binary-powerpc/nano-tiny_0.9.23-1.1_powerpc.deb

http://security.debian.org/dists/stable/updates/main/binary-powerpc/nano_0.9.23-1.1_powerpc.deb

sparc:

http://security.debian.org/dists/stable/updates/main/binary-sparc/nano-tiny_0.9.23-1_sparc.deb

http://security.debian.org/dists/stable/updates/main/binary-sparc/nano_0.9.23-1_sparc.deb