Рекомендация Debian по безопасности

DSA-1526-1 xwine -- несколько уязвимостей

Дата сообщения:
20.03.2008
Затронутые пакеты:
xwine
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2008-0930, CVE-2008-0931.
Более подробная информация:

Стив Кэмп из проекта Debian Security Audit обнаружил несколько локальны уязвимостей в xwine, графическом пользовательском интерфейсе для эмулятора WINE.

Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2008-0930

    Команда xwine небезопасно использует временные файлы при печати. Это может позволить удалить произвольные файлы, принадлежащие пользователям, запустившим программу.

  • CVE-2008-0931

    Команда xwine изменяет права глобального файла настроек WINE таким образом, что он становится открытым для записи всем пользователям. Это может позволить локальным пользователям изменить его так, чтобы при запуске любой программы под WINE любым локальным пользователем запускались произвольные команды.

В стабильном выпуске (etch) эти проблемы были исправлены в версии 1.0.1-1etch1.

Рекомендуется обновить пакет xwine.

Исправлено в:

Debian GNU/Linux 4.0 (etch)

Исходный код:
http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1.diff.gz
http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1.dsc
http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_ia64.deb
PowerPC:
http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/x/xwine/xwine_1.0.1-1etch1_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.