Debian セキュリティ勧告

ghostscript -- シンボリックリンク攻撃

報告日時:

2000-11-23

影響を受けるパッケージ:

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2000-1162, CVE-2000-1163.

詳細:

ghostscript はテンポラリファイルを使用しますが、これらのファイルが生成される過程は安全ではありませんでした。テンポラリファイル名を作成する際には mktemp が使用されていましたが、ファイルが安全に開かれていませんでした。もう一つの問題は、生成の際に環境変数 LD_RUN_PATH に空文字列を指定してしまうというものです。そのため、ダイナミックリンカが共有ライブラリを検索する際にカレントディレクトリ内を探してしまいます。

これらの問題は、どちらもバージョン 5.10-10.1 では修正されています。

修正:

Debian GNU/Linux 2.2 (potato)

ソース:: http://security.debian.org/dists/stable/updates/main/source/gs_5.10-10.1.dsc; http://security.debian.org/dists/stable/updates/main/source/gs_5.10-10.1.diff.gz; http://security.debian.org/dists/stable/updates/main/source/gs_5.10.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/gs_5.10-10.1_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/gs_5.10-10.1_arm.deb
Intel IA32:: http://security.debian.org/dists/stable/updates/main/binary-i386/gs_5.10-10.1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/gs_5.10-10.1_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/gs_5.10-10.1_powerpc.deb
Sun SPARC:: http://security.debian.org/dists/stable/updates/main/binary-sparc/gs_5.10-10.1_sparc.deb