セキュリティ情報 / 2001 / セキュリティ情報 -- DSA-023-1 inn2

Debian セキュリティ勧告

DSA-023-1 inn2 -- 安全でない一時ファイルの作成、バッファオーバフロー

報告日時:

2001-01-26

影響を受けるパッケージ:

inn2

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2001-0361.

詳細:

• WireX のセキュリティ関係者によって INN2 付属のプログラムのいくつかで一時ファイルを安全でないやり方で用いていることが発見されました。 そのうちのいくつかは一時ファイルが /tmp や /var/tmp に作成された場合にシンボリックリンク攻撃につながるものですが、このような一時ファイルの作成場所の選択は、少なくとも Debian パッケージに関する限り、多くのインストールで採用されているものです。 悪意を持ったユーザは、ニュースシステム管理者の所有する (つまり、news.news という所有者の) ファイルを上書きできます。
• Michal Zalewski により、記事のキャンセルとその認証に関する部分で攻撃可能なバッファオーバフローが発見されました。 このバグは inn.conf で verifycancels 機能を有効にしている時だけ攻撃可能ですが、この機能は標準では有効ではありませんし、上流からは推奨されない機能とされています。
• Andi Kleen により、二バイト文字のヘッダにより INN2 がクラッシュするというバグが発見されました。このバグは uucp 下でのみ攻撃可能です。

inn2 パッケージをすぐにアップグレードすることを薦めます

修正:

Debian 2.2 (potato)

ソース:

http://security.debian.org/dists/stable/updates/main/source/inn2_2.2.2.2000.01.31-4.1.diff.gz

http://security.debian.org/dists/stable/updates/main/source/inn2_2.2.2.2000.01.31-4.1.dsc

http://security.debian.org/dists/stable/updates/main/source/inn2_2.2.2.2000.01.31.orig.tar.gz

alpha:

http://security.debian.org/dists/stable/updates/main/binary-alpha/inn2-dev_2.2.2.2000.01.31-4.1_alpha.deb

http://security.debian.org/dists/stable/updates/main/binary-alpha/inn2-inews_2.2.2.2000.01.31-4.1_alpha.deb

http://security.debian.org/dists/stable/updates/main/binary-alpha/inn2_2.2.2.2000.01.31-4.1_alpha.deb

arm:

http://security.debian.org/dists/stable/updates/main/binary-arm/inn2-dev_2.2.2.2000.01.31-4.1_arm.deb

http://security.debian.org/dists/stable/updates/main/binary-arm/inn2-inews_2.2.2.2000.01.31-4.1_arm.deb

http://security.debian.org/dists/stable/updates/main/binary-arm/inn2_2.2.2.2000.01.31-4.1_arm.deb

i386:

http://security.debian.org/dists/stable/updates/main/binary-i386/inn2-dev_2.2.2.2000.01.31-4.1_i386.deb

http://security.debian.org/dists/stable/updates/main/binary-i386/inn2-inews_2.2.2.2000.01.31-4.1_i386.deb

http://security.debian.org/dists/stable/updates/main/binary-i386/inn2_2.2.2.2000.01.31-4.1_i386.deb

m68k:

http://security.debian.org/dists/stable/updates/main/binary-m68k/inn2-dev_2.2.2.2000.01.31-4.1_m68k.deb

http://security.debian.org/dists/stable/updates/main/binary-m68k/inn2-inews_2.2.2.2000.01.31-4.1_m68k.deb

http://security.debian.org/dists/stable/updates/main/binary-m68k/inn2_2.2.2.2000.01.31-4.1_m68k.deb

powerpc:

http://security.debian.org/dists/stable/updates/main/binary-powerpc/inn2-dev_2.2.2.2000.01.31-4.1_powerpc.deb

http://security.debian.org/dists/stable/updates/main/binary-powerpc/inn2-inews_2.2.2.2000.01.31-4.1_powerpc.deb

http://security.debian.org/dists/stable/updates/main/binary-powerpc/inn2_2.2.2.2000.01.31-4.1_powerpc.deb

sparc:

http://security.debian.org/dists/stable/updates/main/binary-sparc/inn2-dev_2.2.2.2000.01.31-4.1_sparc.deb

http://security.debian.org/dists/stable/updates/main/binary-sparc/inn2-inews_2.2.2.2000.01.31-4.1_sparc.deb

http://security.debian.org/dists/stable/updates/main/binary-sparc/inn2_2.2.2.2000.01.31-4.1_sparc.deb