Debian-Sicherheitsankündigung
DSA-286-1 gs-common -- Unsichere Temporärdatei
- Datum des Berichts:
- 14. Apr 2003
- Betroffene Pakete:
- gs-common
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 7337.
In Mitres CVE-Verzeichnis: CVE-2003-0207. - Weitere Informationen:
-
Paul Szabo hat die unsichere Erstellung einer Temporärdatei in ps2epsi entdeckt, einem Script, dass als Teil von gs-common, welches gebräuchliche Dateien für verschiedene Ghostscript Releases enthält, verteilt wird. ps2epsi benutzt eine temporäre Datei, während es ghostscript aufruft. Diese Datei wurde auf unsichere Art und Weise erstellt, was es einem lokalen Angreifer erlauben könnte, Dateien, die dem Benutzer gehören, der ps2epsi aufruft, zu überschreiben.
Für die stable Distribution (Woody) wurde dieses Problem in Version 0.3.3.0woody1 behoben.
Die alte stable Distribution (Potato) ist von diesem Problem nicht betroffen.
Für die unstable Distribution (Sid) wurde dieses Problem in Version 0.3.3.1 behoben.
Wir empfehlen Ihnen, Ihr gs-common-Paket zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/g/gs-common/gs-common_0.3.3.0woody1.dsc
- http://security.debian.org/pool/updates/main/g/gs-common/gs-common_0.3.3.0woody1.tar.gz
- http://security.debian.org/pool/updates/main/g/gs-common/gs-common_0.3.3.0woody1.tar.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/g/gs-common/gs-common_0.3.3.0woody1_all.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.