Aviso de seguridad de Debian
ghostscript -- ataque de enlace simbólico
- Fecha del informe:
- 23 de nov de 2000
- Paquetes afectados:
- gs
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2000-1162, CVE-2000-1163.
- Información adicional:
-
ghostscript usa archivos temporales, sin embargo el método usado para crear
esos archivos no era seguro: mktemp se usaba para crear un nombre para un
archivo temporal, pero el archivo no se abría de forma segura. Otro problema
es que durante la construcción (build), la variable de entorno LD_RUN_PATH
estaba puesta a la cadena vacía, lo que causaba que el enlazador dinámico
buscara en el directorio actual las bibliotecas compartidas.
Ambos problemas han sido arreglados en la versión 5.10-10.1.
- Arreglado en:
-
Debian GNU/Linux 2.2 (potato)
- Fuentes:
-
http://security.debian.org/dists/stable/updates/main/source/gs_5.10-10.1.dsc
-
http://security.debian.org/dists/stable/updates/main/source/gs_5.10-10.1.diff.gz
-
http://security.debian.org/dists/stable/updates/main/source/gs_5.10.orig.tar.gz
- Alpha:
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/gs_5.10-10.1_alpha.deb
- ARM:
-
http://security.debian.org/dists/stable/updates/main/binary-arm/gs_5.10-10.1_arm.deb
- Intel IA32:
-
http://security.debian.org/dists/stable/updates/main/binary-i386/gs_5.10-10.1_i386.deb
- Motorola 680x0:
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/gs_5.10-10.1_m68k.deb
- PowerPC:
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/gs_5.10-10.1_powerpc.deb
- Sun SPARC:
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/gs_5.10-10.1_sparc.deb