Debian-Sicherheitsankündigung
DSA-1526-1 xwine -- Verschiedene Verwundbarkeiten
- Datum des Berichts:
- 20. Mär 2008
- Betroffene Pakete:
- xwine
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2008-0930, CVE-2008-0931.
- Weitere Informationen:
-
Steve Kemp vom Debian-Sicherheits-Audit-Projekt entdeckte mehrere lokal ausnutzbare Verwundbarkeiten in xwine, einer graphischen Benutzerschnittstelle für den WINE-Emulator.
Das
Common Vulnerabilities and Exposures
-Projekt identifiziert die folgenden Probleme:- CVE-2008-0930
Das Kommando xwine verwendet lokale temporäre Dateien beim Drucken auf unsichere Art und Weise. Dies könnte die Entfernung beliebiger Dateien, die dem Benutzer gehören, der das Programm startete, ermöglichen.
- CVE-2008-0931
Das Kommando xwine ändert die Rechte der globalen WINE-Konfigurationsdatei so ab, dass sie für alle schreibbar wird. Dies könnte es lokalen Benutzern ermöglichen, sie zu editieren, so dass beliebige Kommandos ausgeführt werden, wann immer ein lokaler Benutzer ein Programm unter WINE ausführt.
Für die Stable-Distribution (Etch) wurden diese Probleme in Version 1.0.1-1etch1 behoben.
Wir empfehlen Ihnen, Ihr xwine-Paket zu aktualisieren.
- CVE-2008-0930
- Behoben in:
-
Debian GNU/Linux 4.0 (etch)
- Quellcode:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1.diff.gz
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1.dsc
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1.dsc
- Alpha:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_ia64.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.