Debian セキュリティ勧告

xpdf -- ローカルからの攻撃

報告日時:
2000-09-10
影響を受けるパッケージ:
xpdf
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2000-0727, CVE-2000-0728.
詳細:
Debian GNU/Linux 2.2 で配布された xpdf には、二つ の問題がありました。
  1. テンポラリファイルの生成が安全に行われず、そのために xpdf はシンボ リックリンク攻撃に対して脆弱になっていました。
  2. 文書に含まれる URL を扱う際、ブラウザを起動する前にシェルのメタキャ ラクタの確認が行われていませんでした。この問題のため、ユーザが URL を 閲覧する際に xpdf に任意のコマンドを実行させるような文書を作成すること が可能となっていました。
これら二つの問題は、バージョン 0.90-7 では修正されています。xpdf パッ ケージを早急にアップデートすることをお勧めします。
修正:

Debian 2.2 (potato)

ソース:
http://security.debian.org/dists/stable/updates/main/source/xpdf_0.90-7.diff.gz
http://security.debian.org/dists/stable/updates/main/source/xpdf_0.90-7.dsc
http://security.debian.org/dists/stable/updates/main/source/xpdf_0.90.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/xpdf_0.90-7_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/xpdf_0.90-7_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/xpdf_0.90-7_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/xpdf_0.90-7_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/xpdf_0.90-7_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/xpdf_0.90-7_sparc.deb