過去のセキュリティアナウンス
2000 2001 2002 2003 2004
CERT Coordination Center Advisory に対しての対応
2003 2004
tcl/tk
tcl/tk の脆弱性
リリース日付 : 2002-08-21
対策パッケージ : expect-5.32-11 itcl-3.2-11 tcl-8.3.3-11 tclx-8.3-11 tix-8.1.1-11 tk-8.3.3-11
問題点
Tcl/Tk に適切なライブラリ検索を行っていない処理が存在します。
その脆弱性を利用したローカルユーザーに、実行しているプログラムのユーザ権限で
任意のコードが実行される可能性があります。
対策
以下のコマンドを実行し、バージョンをご確認ください。
表示されたバージョンより前のバージョンをご使用の場合はアップデートを行ってください。
# rpm -qa | grep パッケージ名
この問題に該当する場合は、最新パッケージをダウンロードし、以下のコマンドによってパッケージのアップデートを行ってください。
なお、バージョン番号については、ダウンロードしたパッケージ番号に読み替えて実行してください。
説明文中の "\"記号は、改行せずに続けて指定することを表しています。
実行例
---------------------------------------------------------------------
# rpm -Fvh package-1.0.0-1.i586.rpm \
package-doc-1.0.0-1.i586.rpm \
package-devel-1.0.0-1.i586.rpm
rpmコマンドを実行する際には、コマンドラインで次のように指定してください。
# rpm -Fvh package-1.0.0-1.i586.rpm package-doc-1.0.0-1.i586.rpm package-devel-1.0.0-1.i586.rpm
---------------------------------------------------------------------
<Turbolinux 8 Workstation>
<Turbolinux 7 Server>
<Turbolinux 7 Workstation>
# rpm -Fvh expect-5.32-11.i586.rpm \
itcl-3.2-11.i586.rpm \
tcl-8.3.3-11.i586.rpm \
tclx-8.3-11.i586.rpm \
tix-8.1.1-11.i586.rpm \
tk-8.3.3-11.i586.rpm
<Turbolinux Server 6.5>
<Turbolinux Workstation 6.0>
# rpm -Fvh expect-5.32-11.i386.rpm \
itcl-3.2-11.i386.rpm \
tcl-8.3.3-11.i386.rpm \
tclx-8.3-11.i386.rpm \
tix-8.1.1-11.i386.rpm \
tk-8.3.3-11.i386.rpm
<Turbolinux Advanced Server 6>
<Turbolinux Server 6.1>
# rpm -Fvh expect-5.32-11.i386.rpm \
tcl-8.3.3-11.i386.rpm \
tclx-8.3-11.i386.rpm \
tix-8.1.1-11.i386.rpm \
tk-8.3.3-11.i386.rpm
Package Update Path