Debian セキュリティ勧告
DSA-340-1 x-face-el -- 安全でない一時ファイル
- 報告日時:
- 2003-07-06
- 影響を受けるパッケージ:
- x-face-el
- 危険性:
- あり
- 参考セキュリティデータベース:
- 現時点では、その他の外部参考セキュリティデータベースはありません。
- 詳細:
-
注意: 管理的な問題が組み合わさった結果、 この勧告は誤って識別子「DSA-338-1」で発表されました。DSA-338-1 は正確には先の proftpd について言及する勧告です。
メールヘッダの X-Faces 行に含まれる画像データのデコーダーである x-face-el は適切なセキュリティ予防措置を取ることなく一時ファイルを作成しています。 このバグを悪用して、Emacs および x-face-el を実行しているユーザの権限で、 潜在的には攻撃者により提供した内容で任意のファイルを上書きできる可能性があります。
安定版 (stable) ディストリビューション (woody) では、この問題はバージョン 1.3.6.19-1woody1 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.3.6.23-1 で修正されています。
直ちに x-face-el パッケージを更新することを勧めます。
- 修正:
-
Debian GNU/Linux 3.0 (woody)
- ソース:
- http://security.debian.org/pool/updates/main/x/x-face-el/x-face-el_1.3.6.19-1woody1.dsc
- http://security.debian.org/pool/updates/main/x/x-face-el/x-face-el_1.3.6.19-1woody1.diff.gz
- http://security.debian.org/pool/updates/main/x/x-face-el/x-face-el_1.3.6.19.orig.tar.gz
- http://security.debian.org/pool/updates/main/x/x-face-el/x-face-el_1.3.6.19-1woody1.diff.gz
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/pool/updates/main/x/x-face-el/x-face-el_1.3.6.19-1woody1_all.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。