Sauter le menu

• À propos de Debian
• Actualités
• Obtenir Debian
• Assistance
• Le coin du développeur
• Plan du site
• Recherche

Bulletin d'alerte Debian

DSA-202-1 im -- Fichiers temporaires non sécurisés

Date du rapport:

3 décembre 2002

Paquets concernés:

im

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identificateur BugTraq 6307.
Dans le dictionnaire CVE du Mitre : CVE-2002-1395.

Pour plus d'information:

Tatsuya Kinoshita a découvert que IM, qui contient des commandes d'interface et des bibliothèques Perl pour le courriel et NetNews, crée des fichiers temporaires de manière non sécurisée.

• Le programme impwagent crée un répertoire temporaire de manière non sécurisée dans /tmp en utilisant des noms de répertoire prédictibles et sans vérifier la valeur de retour de mkdir. Ainsi, il est possible de récupérer les permissions du répertoire temporaire avec un accès local en tant qu'un autre utilisateur.
• Le programme immknmz crée un fichier temporaire de manière non sécurisée dans /tmp en utilisant un nom de fichier prédictible. Ainsi un attaquant avec un accès local peut facilement créer et écraser des fichiers d'un autre utilisateur.

Ces problèmes ont été corrigés dans la version 141-18.1 pour l'actuelle distribution stable (Woody), dans la version 133-2.2 pour l'ancienne distribution stable (Potato) et dans la version 141-20 pour la distribution instable (Sid).

Nous recommandons la mise à jour de votre paquet im.

Corrigé dans:

Debian GNU/Linux 2.2 (potato)

Source :

http://security.debian.org/pool/updates/main/i/im/im_133-2.3.dsc

http://security.debian.org/pool/updates/main/i/im/im_133-2.3.diff.gz

http://security.debian.org/pool/updates/main/i/im/im_133.orig.tar.gz

Composant indépendant de l'architecture :

http://security.debian.org/pool/updates/main/i/im/im_133-2.3_all.deb

Debian GNU/Linux 3.0 (woody)

Source :

http://security.debian.org/pool/updates/main/i/im/im_141-18.2.dsc

http://security.debian.org/pool/updates/main/i/im/im_141-18.2.diff.gz

http://security.debian.org/pool/updates/main/i/im/im_141.orig.tar.gz

Composant indépendant de l'architecture :

http://security.debian.org/pool/updates/main/i/im/im_141-18.2_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.

Les sommes MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.

Cette page est aussi disponible dans les langues suivantes :

dansk Deutsch English español 日本語 (Nihongo) Português Русский (Russkij) suomi svenska 中文(简) 中文(HK) 中文(繁)

Comment configurer la langue par défaut du document