Debian-Sicherheitsankündigung
ghostscript -- Symlink-Angriff
- Datum des Berichts:
- 23. Nov 2000
- Betroffene Pakete:
- gs
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2000-1162, CVE-2000-1163.
- Weitere Informationen:
-
ghostscript verwendet temporäre Dateien, allerdings war die verwendete
Methode, um diese zu erstellen, nicht sicher: mktemp wurde zur Erstellung eines
Namens für die temporäre Datei verwendet, aber die Datei wurde nicht sicher
geöffnet. Ein weiteres Problem ist, dass während des Bauens die
LD_RUN_PATH Umgebungsvariable auf die leere Zeichenkette gesetzt wurde, was
dazu führte, dass der dynamische Linker im aktuellen Verzeichnis nach
Laufzeitbibliotheken schaute.
Beide Probleme wurde in Version 5.10-10.1 behoben.
- Behoben in:
-
Debian GNU/Linux 2.2 (potato)
- Quellcode:
-
http://security.debian.org/dists/stable/updates/main/source/gs_5.10-10.1.dsc
-
http://security.debian.org/dists/stable/updates/main/source/gs_5.10-10.1.diff.gz
-
http://security.debian.org/dists/stable/updates/main/source/gs_5.10.orig.tar.gz
- Alpha:
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/gs_5.10-10.1_alpha.deb
- ARM:
-
http://security.debian.org/dists/stable/updates/main/binary-arm/gs_5.10-10.1_arm.deb
- Intel IA32:
-
http://security.debian.org/dists/stable/updates/main/binary-i386/gs_5.10-10.1_i386.deb
- Motorola 680x0:
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/gs_5.10-10.1_m68k.deb
- PowerPC:
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/gs_5.10-10.1_powerpc.deb
- Sun SPARC:
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/gs_5.10-10.1_sparc.deb