Bulletin d'alerte Debian
DSA-023-1 inn2 -- Failles de sécurité avec les fichiers temporaires
- Date du rapport :
- 26 janvier 2001
- Paquets concernés :
- inn2
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2001-0361.
- Plus de précisions :
-
- Les personnes de WireX ont découvert plusieurs utilisations non sécurisées de fichiers temporaires dans les programmes fournis par INN2. Quelques uns pouvaient aboutir à une exploitation par une attaque aux liens symboliques si le répertoire temporaire était /tmp ou /var/tmp qui est le cas le plus général, au moins dans les paquets Debian. Un attaquant pouvait écraser tout fichier de l'administrateur du système de nouvelles, c'est-à-dire par news.news ;
- Michal Zalewski a trouvé un dépassement de tampon exploitable dans les
messages d'annulation et leur vérification. Ce bogue apparaît si
verifycancels
est activé dans inn.conf qui n'est pas par défaut et qui est même déconseillé par les développeurs ; - Andi Kleen a mis à jour un bogue dans INN2 qui fait planter innd si l'en-tête est de deux octets. La chance est qu'il n'est exploitable qu'en uucp.
Nous vous recommandons de mettre à jour vos paquets inn2 immédiatement.
- Corrigé dans :
-
Debian 2.2 (potato)
- Source :
-
http://security.debian.org/dists/stable/updates/main/source/inn2_2.2.2.2000.01.31-4.1.diff.gz
-
http://security.debian.org/dists/stable/updates/main/source/inn2_2.2.2.2000.01.31-4.1.dsc
-
http://security.debian.org/dists/stable/updates/main/source/inn2_2.2.2.2000.01.31.orig.tar.gz
- alpha:
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/inn2-dev_2.2.2.2000.01.31-4.1_alpha.deb
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/inn2-inews_2.2.2.2000.01.31-4.1_alpha.deb
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/inn2_2.2.2.2000.01.31-4.1_alpha.deb
- arm:
-
http://security.debian.org/dists/stable/updates/main/binary-arm/inn2-dev_2.2.2.2000.01.31-4.1_arm.deb
-
http://security.debian.org/dists/stable/updates/main/binary-arm/inn2-inews_2.2.2.2000.01.31-4.1_arm.deb
-
http://security.debian.org/dists/stable/updates/main/binary-arm/inn2_2.2.2.2000.01.31-4.1_arm.deb
- i386:
-
http://security.debian.org/dists/stable/updates/main/binary-i386/inn2-dev_2.2.2.2000.01.31-4.1_i386.deb
-
http://security.debian.org/dists/stable/updates/main/binary-i386/inn2-inews_2.2.2.2000.01.31-4.1_i386.deb
-
http://security.debian.org/dists/stable/updates/main/binary-i386/inn2_2.2.2.2000.01.31-4.1_i386.deb
- m68k:
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/inn2-dev_2.2.2.2000.01.31-4.1_m68k.deb
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/inn2-inews_2.2.2.2000.01.31-4.1_m68k.deb
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/inn2_2.2.2.2000.01.31-4.1_m68k.deb
- powerpc:
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/inn2-dev_2.2.2.2000.01.31-4.1_powerpc.deb
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/inn2-inews_2.2.2.2000.01.31-4.1_powerpc.deb
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/inn2_2.2.2.2000.01.31-4.1_powerpc.deb
- sparc:
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/inn2-dev_2.2.2.2000.01.31-4.1_sparc.deb
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/inn2-inews_2.2.2.2000.01.31-4.1_sparc.deb
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/inn2_2.2.2.2000.01.31-4.1_sparc.deb