[보안문제]헬릭스 코드 보안 권고서-Helix GNOME

헬릭스 코드 보안 권고서-Helix GNOME Update
[Linux Today 2000-08-21]

HELIX CODE, INC.에서 보안에 관한 권고서를 발표하였습니다.

영향을 받는 버전은 Helix GNOME Updater 0.1에서 0.5이며, Helix GNOME
Update가 루트가 아닌 일반 사용자들이 /tmp에 쓰기 권한을 허용하여, 시
스템에 설치되어 있는 RPM 패키지들을 수정할 수 있는 등 침입의 가능성
이 매우 높습니다.

/tmp/helix-install이라는 디렉토리는 다운로드 받은RPM 패키지들을 설치
하기위해 저장해 두는 임시 디렉토리인데, 만약 루트로 응용프로그램을 시
작하기에 앞서 먼저 악의가 있는 일반 계정 사용자가 이 디렉토리를 만들
어서 임의로 RPM 패키지들을 옮겨놓고 설치하여 보안에 손상을 입힐 수 있
습니다.

새로 출시된 Helix GNOME Updater 0.6버전은 이러한 보안의 구멍을 해결하
기 위해 이러한 다운로드받은 RPM 파일들을 루트로만 쓰기 권한이 주어지
는 /var/cache/helix-install 디렉토리에 저장하도록 수정하였습니다.

레드햇 시스템을 가지고 계신 사용자들은

http://spidermonkey.helixcode.com/distributions/RedHat-6/helix-
update-0.6-0_helix_2.i386.rpm

맨드레이크 사용자들은

http://spidermonkey.helixcode.com/distributions/Mandrake/helix-
update-0.6-0mdk_helix_2.i586.rpm

솔라리스 사용자들은

http://spidermonkey.helixcode.com/distributions/Solaris/helix-update-
0.6-0_helix_1.sparc64.rpm

터보리눅스 사용자들은

http://spidermonkey.helixcode.com/distributions/TurboLinux-6/helix-
update-0.6-0_helix_3.i386.rpm

을 다운 받으시면 됩니다.
Linux.co.kr 이선미