GLSA 200804-29: Comix: Multiple vulnerabilities
| Опасность: | средняя |
| Заголовок: | Comix: Multiple vulnerabilities |
| Дата: | 25.04.2008 |
| Ошибки: | |
| ID: | 200804-29 |
Сводка
Multiple vulnerabilities in Comix may lead to execution of arbitrary commands and a Denial of Service.Назначение
Comix is a GTK comic book viewer.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| media-gfx/comix | < 3.6.4-r1 | >= 3.6.4-r1 | All supported architectures |
Описание
Comix does not properly sanitize filenames containing shell metacharacters when they are passed to the rar, unrar, or jpegtran programs (CVE-2008-1568). Comix also creates directories with predictable names (CVE-2008-1796).
Воздействие
A remote attacker could exploit the first vulnerability by enticing a user to use Comix to open a file with a specially crafted filename, resulting in the execution of arbitrary commands. The second vulnerability could be exploited by a local attacker to cause a Denial of Service by creating a file or directory with the same filename as the predictable filename used by Comix.
Обход
There is no known workaround at this time.
Решение
All Comix users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=media-gfx/comix-3.6.4-r1"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.