Debian セキュリティ勧告

make -- make におけるシンボリックリンク攻撃

報告日時:
2000-02-14
影響を受けるパッケージ:
make
危険性:
あり
参考セキュリティデータベース:
現時点では、その他の外部参考セキュリティデータベースはありません。
詳細:
Debian GNU/Linux 2.1 で配布された make パッケージには、 シンボリックリンク攻撃を受ける可能性のある競合状況を起す危険性があります。 make は /tmp に一時ファイルを作成する際 mktemp を利用します。 -- mktemp の man ページに文書化されているように、 こちらはよく知られた潜在的なセキュリティホールです。 この問題はバージョン 3.77-5slink で修正されました。 直ちに make パッケージをアップグレードすることをお勧めします。
修正:
ソース:
http://security.debian.org/dists/slink/updates/source/make_3.77.orig.tar.gz
http://security.debian.org/dists/slink/updates/source/make_3.77-5slink.diff.gz
http://security.debian.org/dists/slink/updates/source/make_3.77-5slink.dsc
alpha:
http://security.debian.org/dists/slink/updates/binary-alpha/make_3.77-5slink_alpha.deb
i386:
http://security.debian.org/dists/slink/updates/binary-i386/make_3.77-5slink_i386.deb
m68k:
http://security.debian.org/dists/slink/updates/binary-m68k/make_3.77-5slink_m68k.deb
sparc:
http://security.debian.org/dists/slink/updates/binary-sparc/make_3.77-5slink_sparc.deb