Bulletin d'alerte Debian
ghostscript -- Attaque par lien symbolique
- Date du rapport :
- 23 novembre 2000
- Paquets concernés :
- gs
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2000-1162, CVE-2000-1163.
- Plus de précisions :
-
Ghostscript utilise des fichiers temporaires. Cependant, la méthode
utilisée pour créer ces fichiers n'est pas sécurisée : mktemp était
utilisé pour créer le nom du fichier temporaire. Ces fichiers n'étaient
cependant pas ouverts de manière sécurisée. Un autre problème se situait lors
de la construction, la variable d'environnement LD_RUN_PATH
recevait une valeur nulle ce qui forçait l'éditeur de liens dynamiques
à regarder dans le répertoire courant des bibliothèques partagées.
Ces problèmes ont été réparés dans la version 5.10-10.1.
- Corrigé dans :
-
Debian GNU/Linux 2.2 (potato)
- Source :
-
http://security.debian.org/dists/stable/updates/main/source/gs_5.10-10.1.dsc
-
http://security.debian.org/dists/stable/updates/main/source/gs_5.10-10.1.diff.gz
-
http://security.debian.org/dists/stable/updates/main/source/gs_5.10.orig.tar.gz
- Alpha:
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/gs_5.10-10.1_alpha.deb
- ARM:
-
http://security.debian.org/dists/stable/updates/main/binary-arm/gs_5.10-10.1_arm.deb
- Intel IA32:
-
http://security.debian.org/dists/stable/updates/main/binary-i386/gs_5.10-10.1_i386.deb
- Motorola 680x0:
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/gs_5.10-10.1_m68k.deb
- PowerPC:
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/gs_5.10-10.1_powerpc.deb
- Sun SPARC:
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/gs_5.10-10.1_sparc.deb