Debian セキュリティ勧告

DSA-323-1 noweb -- 安全でない一時ファイル

報告日時:

2003-06-16

影響を受けるパッケージ:

noweb

危険性:

あり

参考セキュリティデータベース:

(SecurityFocus の) Bugtraq データベース: BugTraq ID 7937.
Mitre の CVE 辞書: CVE-2003-0381.

詳細:

Jakob Lell さんが noweb に収録されている「noroff」スクリプトが一時ファイルを安全でない方法で作成しているバグを発見しました。再調査で、この問題が他にも複数見つかり修正されました。このバグはどれも、ローカルユーザが悪用してスクリプトの発動ユーザが所有する任意のファイルを上書きすることが可能です。

安定版 (stable) ディストリビューション (woody) では、この問題はバージョン 2.9a-7.3 で修正されています。

For old 安定版 (stable) ディストリビューション (potato) では、この問題はバージョン 2.9a-5.1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題は近く修正予定です。

直ちにnoweb パッケージを更新することを勧めます。

修正:

Debian GNU/Linux 2.2 (potato)

ソース:: http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a-5.1.dsc; http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a-5.1.diff.gz; http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-5.1_alpha.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-5.1_i386.deb

Debian GNU/Linux 3.0 (woody)

ソース:: http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a-7.2.dsc; http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a-7.2.diff.gz; http://security.debian.org/pool/updates/main/n/noweb/noweb_2.9a.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-7.3_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-7.3_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-7.3_i386.deb
HPPA:: http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-7.3_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-7.3_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/n/noweb/nowebm_2.9a-7.3_mips.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。