Рекомендация Debian по безопасности

DSA-023-1 inn2 -- локальные уязвимости временных файлов

Дата сообщения:
26.01.2001
Затронутые пакеты:
inn2
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2001-0361.
Более подробная информация:
  • Участники проекта WireX обнаружили потенциально небезопасное использование временных файлов в программах из состава INN2. Некоторые из них уязвимы к атакам через символьные ссылки лишь в том случае, если в качестве временного каталога используются каталоги /tmp или /var/tmp, что имеет место во многих системах, по меньшей мере в пакетах Debian. Злоумышленник может перезаписать любой файл, владельцем которого является системный администратор группы news, то есть это пользователь news.news.
  • Михал Залевски обнаружил переполнение буфера, которое возникает при появлении сообщений об отмене и проверки таких сообщений. Данная ошибка возникает лишь в случае, когда включена опция "verifycancels" в inn.conf, которая по умолчанию выключена и даже не рекомендуется к использованию разработчиками основной ветки разработки.
  • Энди Клин обнаружил ошибку в INN2, которая приводит к аварийному завершению из-за двух байтовых заголовков. Эта ошибка может использоваться вместе с uucp.
Рекомендуется как можно скорее обновить пакеты inn2.
Исправлено в:

Debian 2.2 (potato)

Исходный код:
http://security.debian.org/dists/stable/updates/main/source/inn2_2.2.2.2000.01.31-4.1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/inn2_2.2.2.2000.01.31-4.1.dsc
http://security.debian.org/dists/stable/updates/main/source/inn2_2.2.2.2000.01.31.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/inn2-dev_2.2.2.2000.01.31-4.1_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/inn2-inews_2.2.2.2000.01.31-4.1_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/inn2_2.2.2.2000.01.31-4.1_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/inn2-dev_2.2.2.2000.01.31-4.1_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/inn2-inews_2.2.2.2000.01.31-4.1_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/inn2_2.2.2.2000.01.31-4.1_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/inn2-dev_2.2.2.2000.01.31-4.1_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/inn2-inews_2.2.2.2000.01.31-4.1_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/inn2_2.2.2.2000.01.31-4.1_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/inn2-dev_2.2.2.2000.01.31-4.1_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/inn2-inews_2.2.2.2000.01.31-4.1_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/inn2_2.2.2.2000.01.31-4.1_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/inn2-dev_2.2.2.2000.01.31-4.1_powerpc.deb
http://security.debian.org/dists/stable/updates/main/binary-powerpc/inn2-inews_2.2.2.2000.01.31-4.1_powerpc.deb
http://security.debian.org/dists/stable/updates/main/binary-powerpc/inn2_2.2.2.2000.01.31-4.1_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/inn2-dev_2.2.2.2000.01.31-4.1_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/inn2-inews_2.2.2.2000.01.31-4.1_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/inn2_2.2.2.2000.01.31-4.1_sparc.deb