Debian Bug Report: シンボリックリンクに関する脆弱性 (#496358) パッケージ: crossfire-maps 概要: 本報告書では、複数の Debian パッケージにおいてシンボリックリンクの使用に関連するセキュリティ脆弱性について詳述しています。攻撃者がこれを悪用する可能性があります。 主な情報 報告日: 2008年8月24日 日曜日 18:06:07 UTC 報告者: Dmitry E. Oboukhov 深刻度: 当初「grave(重大)」に設定されていたが、後に「important(重要)」に調整された 修正バージョン: crossfire-maps 1.11.0-2 メンテナー: Kari Pahula 脆弱性の詳細 この脆弱性は、特定の Debian パッケージ内のスクリプトが、適切な防護策なしに ディレクトリ内の一時ファイルを使用していることに起因します。これにより、任意のユーザーが一時ファイルと同じ名前を持つシンボリックリンクを作成することができます。攻撃者はこれを利用して、以下を行う可能性があります: システムまたはユーザーファイルの破壊または書き換え サービス拒否(DoS)の引き起こし データ破壊につながるシンボリックリンクの恒久的な作成 影響を受けたパッケージ 影響を受けたパッケージの包括的なリストが提供されており、これらには以下が含まれます: - crossfire-maps - r-base-core-ra - rcpp - mafft - openoffice.org-common - ... 各パッケージとその問題のあるスクリプトがリストされています。 解決策 メンテナーは パッケージをバージョン 1.11.0-2 に更新し、脆弱性に対処しました。具体的には、リスクを軽減するため と サブディレクトリおよび スクリプトを削除しました。