Рекомендация Debian по безопасности

DLA-297-1 wesnoth-1.8 -- обновление безопасности LTS

Дата сообщения:
22.08.2015
Затронутые пакеты:
wesnoth-1.8
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-5069, CVE-2015-5070.
Более подробная информация:

Wesnoth реализует язык предварительной обработки текста, использующийся вместе с собственным языком игровых сценариев. Также в игре имеется встроенный интерпретатор Lua и соответствующий API. И Lua API, и препроцессор используют одну и ту же функцию (filesystem::get_wml_location()) для разрешения путей к файлам, чтобы считывалось только содержимое пользовательского каталога с данными.

Тем не менее, эта функция явным образом не запрещает файлы с расширением .pbl. Таким образом, содержимое этих файлов может сохраняться в файлах сохранений или даже передано напрямую другим пользователям в ходе сетевой игры. Информация, содержащаяся в этих файлах, включает в себя пользовательский пароль, используемый для аутентификации загрузок на сервер данных игры.