Summary: | CVE-2010-3378: insecure library loading | ||
---|---|---|---|
Product: | Sisyphus | Reporter: | Vladimir Lettiev <crux> |
Component: | scilab | Assignee: | Nobody's working on this, feel free to take it <nobody> |
Status: | CLOSED FIXED | QA Contact: | qa-sisyphus |
Severity: | blocker | ||
Priority: | P3 | CC: | rider |
Version: | unstable | Keywords: | security |
Hardware: | all | ||
OS: | Linux | ||
URL: | http://bugs.debian.org/598422 |
Description
Vladimir Lettiev
2010-10-16 12:53:56 MSD
По сравнению с debian у нас в scilab из shell-скриптов есть только /usr/bin/scilab Там есть несколько точек с небезопасным изменением LD_LIBRARY_PATH: /usr/bin/scilab line 398: LD_LIBRARY_PATH="$JRE_HOME/lib/$proc/:$JRE_HOME/lib/$proc/server/:$JRE_HOME/lib/$proc/native_threads/:$LD_LIBRARY_PATH" /usr/bin/scilab line 442: LD_LIBRARY_PATH=$SCILIB${LD_LIBRARY_PATH+:$LD_LIBRARY_PATH} В последнем случае лучше заменить на: LD_LIBRARY_PATH=$SCILIB${LD_LIBRARY_PATH:+:$LD_LIBRARY_PATH} Это не ко мне уже. Заодно исправьте ошибку с арифметическим переполнением при компиляции фортрана. $ ssh git.alt acl sisyphus scilab show scilab nbr @everybody перевесьте пакет на nobody@ В scilab-6.1.1-alt1 есть обработка пустых значений переменных в LD_LIBRARY_PATH |