Las versiones del Helix GNOME Installer entre 0.1 y 0.5 permiten que un usuario local pueda dañar archivos del sistema e instalar paquetes RPM arbitrarios.
Helix GNOME Instaler es una utilidad para entorno GNOME que descargar automáticamente paquetes actualizados e instalarlos en el sistema.
Las versiones entre 0.1 y 0.5 copian diversos ficheros del sistema operativo en el directorio «/tmp», los modifica y los deposita en su posición original. Un usuario local puede crear un directorio con el mismo nombre, con lo que la operación de copia fallará y destruirá los ficheros originales.
Por otra parte, el programa emplea el directorio «/tmp/helix-install» para descargar en él los paquetes que se van a actualizar. Si dicho directorio es creado por un usuario local, éste puede depositar en su interior paquetes RPM arbitrarios.
La recomendación es que todos los usuarios que utilicen este servicio actualicen a la versión 0.6 del mismo.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=779
M s informaci¢n:
+ltima versi¢n del instalador, incluyendo versiones para las distribuciones linux m s populares
http://spidermonkey.helixcode.com/
Jesos Cea Avi¢n
jcea@hispasec.com
http://www.hispasec.com
