TOKUNAGA Hiroyuki
tkng****@xem*****
2005年 2月 21日 (月) 00:20:11 JST
uim 0.4.5.1をリリースしました。これはセキュリティフィックスです。 http://uim.freedesktop.org/releases/uim-0.4.5.1.tar.gz sha1sum:4a113fc3472fdf7561eb2ad57af189f94a7b17ee uim-0.4.5.1.tar.gz 0.4.5以前の全てのバージョンのuimにはセキュリティホールがあります。もし uimのQt immoduleを使っているなら、0.4.5.1にアップグレードしてください。 バグの概要 ========== Vulnerability : privilege escalation Problem-Type : local 朝木卓見さんにより、uimが常に環境変数を信用していることが発見されまし た。これにより、ローカルのユーザがsetuidされたアプリケーションの権限で任 意のプログラムを実行することが可能になります。 GTK+はもともとsetuidされたアプリケーションを許さないので、影響を受ける のはimmodule for Qtパッチを当てたQtを使っている場合のみです。 Changes between 0.4.5 to 0.4.5.1 ================================ * libuim - execlpの実行前にsetuid下で実行されていないかどうか確認を加えた * uim-skk - setuid下で実行されている場合、個人辞書の読み書きを行わないようにした uim-skkへの対策などはもしかしたら不要かもしれませんが、setuidされたアプ リケーション(kpppとか)で長文を入力する事もないでしょうし、安全側に倒し て対策してあります。
