Aviso de seguridad de Debian
DSA-023-1 inn2 -- vulnerabilidades de archivo temporal local
- Fecha del informe:
- 26 de ene de 2001
- Paquetes afectados:
- inn2
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2001-0361.
- Información adicional:
-
- La gente de WireX ha encontrado algunos potenciales usos inseguros de archivos temporales en los programas proporcionados por INN2. Algunos de ellos sólo pueden conducir a una vulnerabilidd de ataques de enlace simbólico si el directorio temporal fue fijado a /tmp ó /var/tmp, lo que es el caso de muchas instalaciones, al menos en los paquetes Debian. Un atacante podría sobreescribir cualquier archivo que pertenezca al administrador del sistema de news (noticias), por ejemplo, que pertenezcan a news.news.
- Michal Zalewski encontró un desbordamiento de búfer explotable que concierne a mensajes cancelados y su verificación. Este error sólo mostraba si "verifycancels" estaba activado en inn.conf, que no es la opción predeterminada y ha sido desaconsejada en la versión siguiente.
- Andi Kleen encontró un error en INN2 que hace que innd caiga para cabeceras de dos bytes. Esta oportunidad sólo puede ser explotada con uucp.
- Arreglado en:
-
Debian 2.2 (potato)
- Fuentes:
-
http://security.debian.org/dists/stable/updates/main/source/inn2_2.2.2.2000.01.31-4.1.diff.gz
-
http://security.debian.org/dists/stable/updates/main/source/inn2_2.2.2.2000.01.31-4.1.dsc
-
http://security.debian.org/dists/stable/updates/main/source/inn2_2.2.2.2000.01.31.orig.tar.gz
- alpha:
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/inn2-dev_2.2.2.2000.01.31-4.1_alpha.deb
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/inn2-inews_2.2.2.2000.01.31-4.1_alpha.deb
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/inn2_2.2.2.2000.01.31-4.1_alpha.deb
- arm:
-
http://security.debian.org/dists/stable/updates/main/binary-arm/inn2-dev_2.2.2.2000.01.31-4.1_arm.deb
-
http://security.debian.org/dists/stable/updates/main/binary-arm/inn2-inews_2.2.2.2000.01.31-4.1_arm.deb
-
http://security.debian.org/dists/stable/updates/main/binary-arm/inn2_2.2.2.2000.01.31-4.1_arm.deb
- i386:
-
http://security.debian.org/dists/stable/updates/main/binary-i386/inn2-dev_2.2.2.2000.01.31-4.1_i386.deb
-
http://security.debian.org/dists/stable/updates/main/binary-i386/inn2-inews_2.2.2.2000.01.31-4.1_i386.deb
-
http://security.debian.org/dists/stable/updates/main/binary-i386/inn2_2.2.2.2000.01.31-4.1_i386.deb
- m68k:
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/inn2-dev_2.2.2.2000.01.31-4.1_m68k.deb
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/inn2-inews_2.2.2.2000.01.31-4.1_m68k.deb
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/inn2_2.2.2.2000.01.31-4.1_m68k.deb
- powerpc:
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/inn2-dev_2.2.2.2000.01.31-4.1_powerpc.deb
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/inn2-inews_2.2.2.2000.01.31-4.1_powerpc.deb
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/inn2_2.2.2.2000.01.31-4.1_powerpc.deb
- sparc:
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/inn2-dev_2.2.2.2000.01.31-4.1_sparc.deb
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/inn2-inews_2.2.2.2000.01.31-4.1_sparc.deb
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/inn2_2.2.2.2000.01.31-4.1_sparc.deb