-------------------------------------------------------------------------- Alerta de Segurança Debian DSA 202-2 security@debian.org http://www.debian.org/security/ Martin Schulze 06 de Dezembro de 2002 http://www.debian.org/security/faq -------------------------------------------------------------------------- Pacote : im Vulnerabilidade : arquivos temporários Tipo de Problema : local Específico ao Debian : não Diferente do que pensavamos, os pacotes IM não são independentes de arquitetura, uma vez que o número de chamadas de sistemas fsync é detectado na hora da compilação e este número difere nas arquiteturas Linux e outros sistemas operacionais. Como resultado disso, a característica opcional ``NoSync=no'' funciona somente na arquitetura em que o pacote foi construído. Como sempre, nós incluímos o texto do alerta original, DSA 202-1: Tatsuya Kinoshita descobriu que o IM, que contém comandos de interface e bibliotecas do Perl para E-mail e NetNews, cria arquivos temporários de forma insegura. 1. O programa impwagent cria um diretório temporário de uma maneira insegura em /tmp usando nomes de diretórios previsíveis sem checar o código de retorno do mkdir, então é possível pegar a permissão de um diretório temporário acessando a máquina localmente como um usuário qualquer. 2. O programa immknmz cria um arquivo temporário de maneira insegura em /tmp usando um nome de arquivo previsível, então o atacante com acesso local pode facilmente criar e sobrescrever arquivos como outro usuário. O problema foi corrigido na versão 141-18.2 para a atual distribuição estável (woody), na versão 133-2.3 da antiga distribuição estável (potato). Uma correção para a distribuição instável (sid) é aguardada para breve. Nós recomendamos que você atualize seu pacote IM. -------------------------------------------------------------------------- Essa é uma tradução do DSA original, enviado para a lista debian-security-announce@lists.debian.org. Caso queira receber os alertas em inglês e minutos depois de sua publicação, inscreva-se na lista acima, através do endereço: http://www.debian.org/MailingLists/subscribe#debian-security-announce --------------------------------------------------------------------------
Attachment:
pgpnJF8Yieuh4.pgp
Description: PGP signature