Säkerhetsbulletin från Debian

DSA-1526-1 xwine -- flera sårbarheter

Rapporterat den:
2008-03-20
Berörda paket:
xwine
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2008-0930, CVE-2008-0931.
Ytterligare information:

Steve Kemp från Debians säkerhetsgranskningsprojekt upptäckte flera lokala sårbarheter i xwine, ett grafiskt användargränssnitt för emulatorn WINE.

Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2008-0930

    Kommandot xwine använder lokala temporära filer på ett osäkert sätt vid utskrifter. Detta kunde göra det möjligt att ta bort godtyckliga filer som tillhörde användaren som startade programmet.

  • CVE-2008-0931

    Kommandot xwine ändrar behörigheten för den globala WINE-konfigurationen så att den kan skrivas av alla användare. Detta kunde göra det möjligt för lokala användare att redigera det så att ett godtycklig kommando exekverades varje gång en lokal användare exekverade ett program under WINE.

För den stabila utgåvan (Etch) har dessa problem rättats i version 1.0.1-1etch1.

Vi rekommenderar att ni uppgraderar ert xwine-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:
http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1.diff.gz
http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1.dsc
http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_ia64.deb
PowerPC:
http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.