Bulletin d'alerte Debian
DSA-1526-1 xwine -- Plusieurs vulnérabilités
- Date du rapport :
- 20 mars 2008
- Paquets concernés :
- xwine
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2008-0930, CVE-2008-0931.
- Plus de précisions :
-
Steve Kemp du projet d'audit de sécurité de Debian a découvert plusieurs vulnérabilités locales dans xwine, une interface graphique pour l'émulateur Wine. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :
- CVE-2008-0930
La commande xwine utilise de manière peu sûre des fichiers temporaires locaux lors de l'impression. Cela peut permettre la suppression de fichiers arbitraires appartenant aux utilisateurs qui invoquent ce programme.
- CVE-2008-0931
La commande xwine modifie les permissions du fichier de configuration globale de Wine afin que tout le monde puisse écrire dedans. Cela peut permettre à des utilisateurs locaux de l'éditer pour exécuter des commandes arbitraires à chaque fois qu'un utilisateur local exécute un programme dans Wine.
Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 1.0.1-1etch1.
Nous vous recommandons de mettre à jour votre paquet xwine.
- CVE-2008-0930
- Corrigé dans :
-
Debian GNU/Linux 4.0 (etch)
- Source :
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1.diff.gz
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1.dsc
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1.orig.tar.gz
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1.dsc
- Alpha:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_ia64.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.