[debian-devel:11347] Re: nvi-m17n: nvi-m17n is insecure (Re: other vi type editors are safe?)

[ASAZU Hideki <asa@xxxxxxxxxxxxxxxx>]

浅津と申します。

nvi、nvi-m17nのバグの件です。

From: Hiroshi KISE <fuyuneko@xxxxxxxxxxxx>
Subject: [debian-devel:11339] nvi-m17n: nvi-m17n is insecure (Re:  other vi
 type editors are safe?)
Date: Tue, 11 Jan 2000 20:33:44 +0900

> みづらいかもしれませんが、実際には2行追加するだけです。
> ＃ なぜこれでOKなのかは理解できてません。

OKでないのではないでしょうか。

# 以下、手口を公開するようでなんですが、すでに公知となっているので…

/etc/init.d/nvibootより引用
> vibackup=`echo $RECDIR/vi.*`
 ...
> for i in $vibackup; do
 ...
>     i=$RECDIR/${i#$RECDIR/}            ......(*)
 ...
>     if test -x $i -o ! -s $i; then
>             rm $i
>     fi
> done

このコードは(*)を追加することにより、$iを展開した結果が$RECDIR/以下に限
定されるようにするという意図だと思いますが、相対パス指定を組み合わせると
無意味だと思います。

例えば、/var/tmp/vi.recover (=$RECDIR)以下に、
	'foo ../../../vmlinux'
とかいう名前のファイルを作ることで、修正前と同じ問題を引き起こすのではな
いでしょうか。

このバグの対処法については、
	http://www.st.ryukoku.ac.jp/~kjm/security/memo/#20000105_vi
等にでています。

# 本来はBTSに投げるべきなんでしょうが、今本当に手が離せないもので…