Debianin tietoturvatiedote
DSA-323-1 noweb -- epäluotettavat väliaikaistiedostot
- Ilmoitettu:
- 16. 6.2003
- Vaikutuksen alaiset paketit:
- noweb
- Altis:
- Kyllä
- Viittaukset tietoturvatietokantoihin:
- Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 7937.
Mitren CVE-sanakirjassa: CVE-2003-0381. - Lisätietoa:
-
Jakob Lell havaitsi nowebin sisältämässä "noroff"-komentosarjassa vian, jonka johdosta väliaikaistiedosto luodaan epäluotettavalla tavalla. Pakettia tutkittaessa löytyi useita muitakin tähän ongelmaan liittyviä vikoja jotka korjattiin. Paikallinen käyttäjä voi hyväksikäyttää näitä vikoja kirjoittaakseen mielivaltaisesti yli komentosarjaa kutsuvan käyttäjän omistamia tiedostoja.
Nämä ongelmat on korjattu vakaan jakelun (woody) versiossa 2.9a-7.3 .
Nämä ongelmat on korjattu aiemman vakaan jakelun (potato) versiossa 2.9a-5.1 .
Korjaus epävakaalle jakelulle (sid) ilmestyy piakkoin.
Suosittelemme päivittämään noweb-paketin.
- Korjattu:
-
Debian GNU/Linux 2.2 (potato)
- Lähde:
- http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a-5.1.dsc
- http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a-5.1.diff.gz
- http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a.orig.tar.gz
- http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a-5.1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-5.1_alpha.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-5.1_i386.deb
Debian GNU/Linux 3.0 (woody)
- Lähde:
- http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a-7.2.dsc
- http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a-7.2.diff.gz
- http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a.orig.tar.gz
- http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a-7.2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-7.3_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-7.3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-7.3_i386.deb
- HPPA:
- http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-7.3_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-7.3_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-7.3_mips.deb
Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.