GLSA 200608-22: fbida: Arbitrary command execution
| Опасность: | средняя |
| Заголовок: | fbida: Arbitrary command execution |
| Дата: | 23.08.2006 |
| Ошибки: | |
| ID: | 200608-22 |
Сводка
The fbgs script provided by fbida allows the execution of arbitrary code.Назначение
fbida is a collection of image viewers and editors for the framebuffer console and X11. fbgs is a PostScript and PDF viewer for the linux framebuffer console.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| media-gfx/fbida | < 2.03-r4 | >= 2.03-r4 | All supported architectures |
Описание
Toth Andras has discovered a typographic mistake in the "fbgs" script, shipped with fbida if the "fbcon" and "pdf" USE flags are both enabled. This script runs "gs" without the -dSAFER option, thus allowing a PostScript file to execute, delete or create any kind of file on the system.
Воздействие
A remote attacker can entice a vulnerable user to view a malicious PostScript or PDF file with fbgs, which may result with the execution of arbitrary code.
Обход
There is no known workaround at this time.
Решение
All fbida users with the "fbcon" and "pdf" USE flags both enabled should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=media-gfx/fbida-2.03-r4"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.