Рекомендация Debian по безопасности

ghostscript -- атака через символические ссылки

Дата сообщения:

23.11.2000

Затронутые пакеты:

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2000-1162, CVE-2000-1163.

Более подробная информация:

ghostscript использует временные файлы, но метод, используемый для создания этих файлов не является безопасным: mktemp используется для создания имени временного файла, но файл открывается небезопасным способом. Другая проблема состоит в том, что во время сборки переменная окружения LD_RUN_PATH имеет пустое значение, что приводит к тому, что динамический линковщик ищет разделяемые библиотеки в текущем каталоге.

Обе проблемы были исправлены в версии 5.10-10.1.

Исправлено в:

Debian GNU/Linux 2.2 (potato)

Исходный код:: http://security.debian.org/dists/stable/updates/main/source/gs_5.10-10.1.dsc; http://security.debian.org/dists/stable/updates/main/source/gs_5.10-10.1.diff.gz; http://security.debian.org/dists/stable/updates/main/source/gs_5.10.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/gs_5.10-10.1_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/gs_5.10-10.1_arm.deb
Intel IA32:: http://security.debian.org/dists/stable/updates/main/binary-i386/gs_5.10-10.1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/gs_5.10-10.1_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/gs_5.10-10.1_powerpc.deb
Sun SPARC:: http://security.debian.org/dists/stable/updates/main/binary-sparc/gs_5.10-10.1_sparc.deb