Gentoo stopft LĂĽcken in Bildbetrachter xli und xloadimage
Der Linux-Distributor Gentoo weist auf mehrere Schwachstellen in den Bildbetrachtern xli und xloadimage hin und stellt aktualisierte Pakete zum Download bereit.
Der Linux-Distributor Gentoo weist auf mehrere Schwachstellen in den Bildbetrachtern xli und xloadimage hin. Da xloadimage aus xli hervorging, beruhen beide Tools teilweise auf den gleichen Quellcodes.
Durch Angabe von Shell-Meta-Zeichen im Dateinamen komprimierter Bilder lassen sich beim Ă–ffnen mit xli und xloadimage eigene Befehle an die Shell ĂĽbergeben und ausfĂĽhren. Ein Fehler bei der Auswertung von Bildeigenschaften soll sich unter xli zum Einschleusen von Code ausnutzen lassen. Eine weitere Schwachstelle in xli beruht auf einem Buffer Overflow bei der Verarbeitung so genannter Faces Project Images. Dieser Fehler wurde eigentlich bereits 2001 in xloadimage entdeckt und beseitigt. Offenbar hat es der Patch nicht bis in den Quellcode von xli geschafft.
Betroffen sind xloadimage-Versionen vor 4.1-r2 sowie xli-Versionen vor 1.17.0-r1. Gentoo hat neue Pakete zu VerfĂĽgung gestellt. Auch der Autor von xli hat eine fehlerbereinigte Version zum Download auf seinen Seiten abgelegt.
Siehe dazu auch: (dab)
- xli, xloadimage: Multiple vulnerabilities Advisory von Gentoo
