GLSA 200510-06: Dia: Arbitrary code execution through SVG import
| Опасность: | средняя |
| Заголовок: | Dia: Arbitrary code execution through SVG import |
| Дата: | 06.10.2005 |
| Ошибки: | |
| ID: | 200510-06 |
Сводка
Improperly sanitised data in Dia allows remote attackers to execute arbitrary code.Назначение
Dia is a gtk+ based diagram creation program released under the GPL license.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| app-office/dia | < 0.94-r3 | >= 0.94-r3 | All supported architectures |
Описание
Joxean Koret discovered that the SVG import plugin in Dia fails to properly sanitise data read from an SVG file.
Воздействие
An attacker could create a specially crafted SVG file, which, when imported into Dia, could lead to the execution of arbitrary code.
Обход
There is no known workaround at this time.
Решение
All Dia users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=app-office/dia-0.94-r3"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.