動的モジュール実行時の脆弱性

リリース日付 : 2001-4-11

対策パッケージ : gtk+-1.2.8-10

問題点
GTK_MODULES変数でモジュールをロードする機能にsecurity holeがあることが確認されました。この変数を使うモジュールをtoolkitによってシステムへロードすることができます。一度toolkitによってロードされると、どんなモジュールでも実行されてしまいます。

悪意のあるユーザーが、精巧に細工されたモジュールを使いシステムファイルを上書きしたり、危険なコードを実行することを可能にします。

対策
以下のコマンドを実行し、バージョンをご確認ください。

# rpm -qa | grep gtk+

この問題に該当する場合は、最新パッケージをダウンロードし、以下のコマンドによってパッケージのアップデートを行ってください。
なお、バージョン番号については、ダウンロードしたパッケージ番号に読み替えて実行してください。

# rpm -Uvh gtk+-1.2.8-10.i386.rpm