Debian Security Advisory

DSA-202-1 im -- 不安全的暂存档案

报告日期:

2002/12/03

受影响的软件:

im

可被袭击:

是

Security database references:

In the Bugtraq database (at SecurityFocus): BugTraq ID 6307.
In Mitre's CVE dictionary: CVE-2002-1395.

更详尽的信息:

Tatsuya Kinoshita 发现 IM 会生不安全的暂存档案。IM 包含了 E-mail 与 NetNews 的界面与 Perl 程序库等。

impwagent 这支程序会用不安全的方式，在 /tmp 下产生一个可以预测名称的暂存目录，而且不会检查 mkdir 的回传值。所以有可能会使用其他用户产生的暂存目录。
immknmz 这支程序会用不安全的方式，在 /tmp 下产生一个可以预测名称的暂存目录，所以在本机上的攻击者可以很轻易地产生并覆写这些暂存档案。

这些问题已经在目前的稳定版 (woody) 的 141-18.1 版，还有旧的稳定版 (potato) 的 133-2.2 版，以及开发中版本 (sid) 的 141-20 版中修正。

我们建议您立刻更新您的 IM 软件包。

修改于:

Debian GNU/Linux 2.2 (potato)

Source:: http://security.debian.org/pool/updates/main/i/im/im_133-2.3.dsc; http://security.debian.org/pool/updates/main/i/im/im_133-2.3.diff.gz; http://security.debian.org/pool/updates/main/i/im/im_133.orig.tar.gz
Architecture-independent component:: http://security.debian.org/pool/updates/main/i/im/im_133-2.3_all.deb

Debian GNU/Linux 3.0 (woody)

Source:: http://security.debian.org/pool/updates/main/i/im/im_141-18.2.dsc; http://security.debian.org/pool/updates/main/i/im/im_141-18.2.diff.gz; http://security.debian.org/pool/updates/main/i/im/im_141.orig.tar.gz
Architecture-independent component:: http://security.debian.org/pool/updates/main/i/im/im_141-18.2_all.deb

MD5 checksums of the listed files are available in the original advisory.

MD5 checksums of the listed files are available in the revised advisory.

This page is also available in the following languages:

dansk Deutsch English español français 日本語 (Nihongo) Português Русский (Russkij) suomi svenska 中文(简) 中文(HK) 中文(繁)

如何设置缺省语言

To report a problem with the web site, e-mail debian-www@lists.debian.org. For other contact information, see the Debian contact page.

最近修订日期: 2008年8月31日星期日 00:03:08 UTC
版权所有 © 2002-2008 SPI; 查阅许可证条款
Debian is a registered trademark of Software in the Public Interest, Inc.