Debian セキュリティ勧告
DSA-679-1 toolchain-source -- 安全ではない一時ファイルの作成
- 報告日時:
- 2005-02-14
- 影響を受けるパッケージ:
- toolchain-source
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2005-0159.
- 詳細:
-
Sean Finney さんは、GNU binutils・GCC ソースコードおよびスクリプトが含まれたパッケージ toolchain-source で、 一時ファイルの作成が安全な状態ではない形であるのを複数発見しました。 これらのバグによって、ローカルの攻撃者が最小限の知識を持っていれば、 管理者を騙してシンボリックリンク攻撃によって任意のファイルを上書きする恐れがあります。 問題は Debian 特有の tpkg-* スクリプト内に存在します。
安定版ディストリビューション (stable、コードネーム woody) では、これらの問題はバージョン 3.0.4-1woody1 で修正されています。
不安定版ディストリビューション (unstable、コードネーム sid) では、これらの問題はバージョン 3.4-5 で修正されています。
toolchain-source パッケージのアップグレードをお勧めします。
- 修正:
-
Debian GNU/Linux 3.0 (woody)
- ソース:
- http://security.debian.org/pool/updates/main/t/toolchain-source/toolchain-source_3.0.4-1woody1.dsc
- http://security.debian.org/pool/updates/main/t/toolchain-source/toolchain-source_3.0.4-1woody1.tar.gz
- http://security.debian.org/pool/updates/main/t/toolchain-source/toolchain-source_3.0.4-1woody1.tar.gz
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/pool/updates/main/t/toolchain-source/toolchain-source_3.0.4-1woody1_all.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。