发布日期：2008-04-25
更新日期：2008-05-19

受影响系统：

Blender Foundation Blender 2.45

描述：

---

BUGTRAQ  ID: 28936
CVE(CAN) ID: CVE-2008-1103

Blender是一款免费的3D建模软件。

Blender在终止的时候创建了/tmp/quit.blend文件，而该文件使用了容易猜测的文件名并使用不安全的文件权限存储临时渲染帧，在自动保存文件时也使用了不安全的文件权限。本地攻击者可以通过符号链接攻击以运行Blender用户的权限覆盖任意文件，或泄露敏感信息。

<*来源：Marcus Meissner （meissner@suse.de）
  
  链接：http://lists.opensuse.org/opensuse-security-announce/2008-04/msg00011.html
        http://secunia.com/advisories/29842/
        http://security.gentoo.org/glsa/glsa-200805-12.xml
*>

建议：

---

厂商补丁：

Gentoo
------
Gentoo已经为此发布了一个安全公告（GLSA-200805-12）以及相应补丁:
GLSA-200805-12：Blender: Multiple vulnerabilities
链接：http://security.gentoo.org/glsa/glsa-200805-12.xml

所有Blender用户都应升级到最新版本：

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=media-gfx/blender-2.43-r2"

浏览次数：2469
严重程度：0（网友投票）