GLSA 201312-06: Festival: Arbitrary code execution
| Опасность: | средняя |
| Заголовок: | Festival: Arbitrary code execution |
| Дата: | 09.12.2013 |
| Ошибки: | |
| ID: | 201312-06 |
Сводка
A vulnerability in Festival could result in arbitrary code execution, and privilege escalation.Назначение
Festival is a Text to Speech Engine from The Centre for Speech Technology Research.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| app-accessibility/festival | < 2.1 | >= 2.1 | All supported architectures |
Описание
A vulnerability in Festival Server has an incorrect path in LD_LIBRARY_PATH, which allows local users to place a Trojan horse shared library in the current working directory.
Воздействие
A local attacker can execute arbitrary a Trojan horse shared library, potentially resulting in arbitrary code execution and privilege escalation.
Обход
There is no known workaround at this time.
Решение
All Festival users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=app-accessibility/festival-2.1"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.