blob: 538ca96e24a05a6db2fdd6f0073c5a5d127f8b42 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
|
<define-tag description>任意コマンドの実行</define-tag>
<define-tag moreinfo>
<p>SuSE セキュリティチームは、xdvi と dvips に使用されている
kpathsea ライブラリ (libkpathsea) に脆弱性を発見しました。
xdvi と dvips は安全な方法で System() 関数を呼びだしておらず、
その結果リモートの攻撃者は巧妙に細工をした DVI ファイルを
通じて、任意のコマンドを実行できてしまいます。
</p>
<p>dvips がプリントフィルタで使用されている場合、プリント権限を
持っているローカルもしくはリモートの攻撃者は、プリンタユーザ
(大抵は lp) の権限で任意のコマンドが実行できます。
</p>
<p>この問題は、現安定版 (stable)(woody) ではバージョン 1.0.7+20011202-7.1
で、旧安定版 (potato) ではバージョン 1.0.6-7.3 で、
不安定版 (unstable)(sid) ではバージョン 1.0.7+20021025-4 で
各々修正されています。
xdvik-ja and dvipsk-ja も同様の脆弱性をもちますが、kpathsea ライブラリ
に動的にリンクしているため、新しい libkpathsea がインストールされる
のにともなって自動的に修正されます。
</p>
<p>早急に tetex-lib パッケージをアップグレードすることを
お勧めします。</p>
</define-tag>
#use wml::debian::translation-check translation="eb6faa110429df9789911b30a778266b4e096da4"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-207.data"
# $Id$
|
