发布日期：2005-10-18
更新日期：2005-10-18

受影响系统：

Gentoo dev-lang/perl < 5.8.7-r1
Gentoo dev-db/qt-unixodbc < 3.3.4-r1
Gentoo dev-util/cmake < 2.2.0-r1

不受影响系统：

Gentoo dev-lang/perl >= 5.8.7-r1
Gentoo dev-lang/perl >= 5.8.6-r6
Gentoo dev-db/qt-unixodbc >= 3.3.4-r1
Gentoo dev-util/cmake >= 2.2.0-r1
Gentoo dev-util/cmake >= 2.0.6-r1

描述：

---

BUGTRAQ  ID: 15120

Gentoo Linux是一个基于源码包的Linux系统。

Gentoo Linux中的一些软件包可能向在运行时搜索函数库的目录列表中引入不安全的路径。此外，依赖于MakeMaker Perl模块创建配置的软件包可能错误的将LD_RUN_PATH拷贝到DT_RPATH。

如果本地攻击者是"portage"组成员的话，就可以在Portage临时代码目录中创建恶意的共享对象。在运行时独立的可执行程序可能会加载对象，导致权限提升。

<*来源：Gentoo Linux Security Advisory
  
  链接：http://security.gentoo.org/glsa/glsa-200510-14.xml
*>

建议：

---

临时解决方法：

* 仅对可信任的用户给予"portage"组权限。

厂商补丁：

Gentoo
------
Gentoo已经为此发布了一个安全公告（GLSA-200510-14）以及相应补丁:
GLSA-200510-14：Perl, Qt-UnixODBC, CMake: RUNPATH issues
链接：http://security.gentoo.org/glsa/glsa-200510-14.xml

所有Perl用户都应升级到最新版本:

    # emerge --sync
    # emerge --ask --oneshot --verbose dev-lang/perl

所有Qt-UnixODBC用户都应升级到最新版本:

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=dev-db/qt-unixodbc-3.3.4-r1"

所有CMake用户都应升级到最新版本:

    # emerge --sync
    # emerge --ask --oneshot --verbose dev-util/cmake

浏览次数：3275
严重程度：0（网友投票）