Säkerhetsbulletin från Debian
ghostscript -- attack mot symboliska länkar
- Rapporterat den:
- 2000-11-23
- Berörda paket:
- gs
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2000-1162, CVE-2000-1163.
- Ytterligare information:
-
Ghostscript använder temporära filer, men metoden det använde för att skapa
de filerna var inte säker:
mktemp användes för att skapa ett namn för en temporärfil, men filen
öppnades inte säkert.
Ytterligare ett problem var att under byggningen sattes
LD_RUN_PATH-variabeln till en tom sträng, vilket medförde att den dynamiska
länkaren letade efter delade bibliotek i den aktuella katalogen.
Båda dessa problem har rättats i version 5.10-10.1.
- Rättat i:
-
Debian GNU/Linux 2.2 (potato)
- Källkod:
-
http://security.debian.org/dists/stable/updates/main/source/gs_5.10-10.1.dsc
-
http://security.debian.org/dists/stable/updates/main/source/gs_5.10-10.1.diff.gz
-
http://security.debian.org/dists/stable/updates/main/source/gs_5.10.orig.tar.gz
- Alpha:
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/gs_5.10-10.1_alpha.deb
- ARM:
-
http://security.debian.org/dists/stable/updates/main/binary-arm/gs_5.10-10.1_arm.deb
- Intel IA32:
-
http://security.debian.org/dists/stable/updates/main/binary-i386/gs_5.10-10.1_i386.deb
- Motorola 680x0:
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/gs_5.10-10.1_m68k.deb
- PowerPC:
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/gs_5.10-10.1_powerpc.deb
- Sun SPARC:
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/gs_5.10-10.1_sparc.deb