Debians sikkerhedsbulletin
DSA-1526-1 xwine -- flere sårbarheder
- Rapporteret den:
- 20. mar 2008
- Berørte pakker:
- xwine
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2008-0930, CVE-2008-0931.
- Yderligere oplysninger:
-
Steve Kemp fra Debian Security Audit-projektet, opdagede flere lokale sårbarheder i xwine, en grafisk brugergrænseflade til emulatoren WINE.
Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:
- CVE-2008-0930
Kommandoen xwine anvender lokale midlertidige filer på usikker vis, når der udskrives. Dette kunne gøre det muligt at fjerne vilkårlige filer hørende til brugere, der starter programmet.
- CVE-2008-0931
Kommandoen xwine ændrer rettighederne på den globale WINE-opsætningsfil på en sådan måde, at den er skrivbar for alle. Dette kunne gøre det muligt for lokale brugere at redigere filen, så vilkårlige kommandoer kunne udføres når en lokal bruger udførte et program under WINE.
I den stabile distribution (etch), er disse problemer rettet i version 1.0.1-1etch1.
Vi anbefaler at du opgraderer din xwine-pakke.
- CVE-2008-0930
- Rettet i:
-
Debian GNU/Linux 4.0 (etch)
- Kildekode:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1.diff.gz
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1.dsc
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1.dsc
- Alpha:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_ia64.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_sparc.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.