TOKUNAGA Hiroyuki
tkng****@xem*****
2005年 9月 28日 (水) 22:47:44 JST
徳永です。 uimにセキュリティホールが発見されたので、新しいバージョンをリリースしま した。問題の発生する環境に該当する方は、新しいバージョンにアップグレード してください。以下のバージョンは対策済です。また、trunk/0.4branchも対策 済です。 http://uim.freedesktop.org/releases/uim-0.4.9.1.tar.gz sha1sum:9037499c47187aeee758ee2bfd60ba9d7d4f40ec uim-0.4.9.1.tar.gz http://uim.freedesktop.org/releases/uim-0.5.0.1.tar.gz sha1sum:d489003205c0e3a24d611e72d0b780ce35bf7474 uim-0.5.0.1.tar.gz バグ自体は2月にみつかったものと同種で、環境変数HOMEを使用してはいけない 場合に使用していました。immodule for Qt等の、libuimにリンクする環境で setuid/setgidされたアプリケーションを使用すると、setuidのユーザ権限で任 意のプログラムを動かすことが可能になります。 私が知っている問題が発生する環境は以下の通りです。もしかしたら他にも問題 が発生する環境はあるかもしれません。 1. immodule for Qtが有効になった環境で、setuidされたアプリケーションを使 う。ダイヤルアップツールなどがsetuidされている環境があるようです。 2. mlterm。Distributionによってはsetuid/setgidされている場合があるみたい です。 GTK+はsetuid/setgidされたアプリケーションを禁止しているので、こちらでは 問題は発生しません。 -- 徳永拓之 tkng at xem jp
