Debian セキュリティ勧告

xpdf -- ローカルからの攻撃

報告日時:

2000-09-10

影響を受けるパッケージ:

xpdf

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2000-0727, CVE-2000-0728.

詳細:

Debian GNU/Linux 2.2 で配布された xpdf には、二つの問題がありました。

テンポラリファイルの生成が安全に行われず、そのために xpdf はシンボリックリンク攻撃に対して脆弱になっていました。
文書に含まれる URL を扱う際、ブラウザを起動する前にシェルのメタキャラクタの確認が行われていませんでした。この問題のため、ユーザが URL を閲覧する際に xpdf に任意のコマンドを実行させるような文書を作成することが可能となっていました。

これら二つの問題は、バージョン 0.90-7 では修正されています。xpdf パッケージを早急にアップデートすることをお勧めします。

修正:

ソース:: http://security.debian.org/dists/stable/updates/main/source/xpdf_0.90-7.diff.gz; http://security.debian.org/dists/stable/updates/main/source/xpdf_0.90-7.dsc; http://security.debian.org/dists/stable/updates/main/source/xpdf_0.90.orig.tar.gz
alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/xpdf_0.90-7_alpha.deb
arm:: http://security.debian.org/dists/stable/updates/main/binary-arm/xpdf_0.90-7_arm.deb
i386:: http://security.debian.org/dists/stable/updates/main/binary-i386/xpdf_0.90-7_i386.deb
m68k:: http://security.debian.org/dists/stable/updates/main/binary-m68k/xpdf_0.90-7_m68k.deb
powerpc:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/xpdf_0.90-7_powerpc.deb
sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/xpdf_0.90-7_sparc.deb