Säkerhetsbulletin från Debian

xpdf -- lokalt säkerhetshål

Rapporterat den:
2000-09-10
Berörda paket:
xpdf
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2000-0727, CVE-2000-0728.
Ytterligare information:
Den version av xpdf som medföljer Debian GNU/Linux 2.2 lider av två problem:
  1. Temporära filer skapades inte på ett säkert sätt, vilket gjorde xpdf sårbart för attacker mot symboliska länkar.
  2. När webbadresser i dokument hanterades kontrollerades det inte om de innehåller något av skalets metatecken innan webbläsaren anropas, något som gör det möjligt att skapa dokument som får xpdf att anropa valfria kommandon när användaren visar en webbadress.
Dessa båda problem har rättats i version 0.90-7, och vi rekommenderar att du uppgraderar ditt xpdf-paket omedelbart.
Rättat i:

Debian 2.2 (potato)

Källkod:
http://security.debian.org/dists/stable/updates/main/source/xpdf_0.90-7.diff.gz
http://security.debian.org/dists/stable/updates/main/source/xpdf_0.90-7.dsc
http://security.debian.org/dists/stable/updates/main/source/xpdf_0.90.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/xpdf_0.90-7_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/xpdf_0.90-7_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/xpdf_0.90-7_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/xpdf_0.90-7_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/xpdf_0.90-7_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/xpdf_0.90-7_sparc.deb