Las versiones del Helix GNOME Installer entre 0.1 y 0.5 permiten que
un usuario local pueda dañar archivos del sistema e instalar paquetes
RPM arbitrarios.
Helix GNOME Instaler es una utilidad para entorno GNOME que descargar
automáticamente paquetes actualizados e instalarlos en el sistema.
Las versiones entre 0.1 y 0.5 copian diversos ficheros del sistema
operativo en el directorio «/tmp», los modifica y los deposita en su
posición original. Un usuario local puede crear un directorio con el
mismo nombre, con lo que la operación de copia fallará y destruirá
los ficheros originales.
Por otra parte, el programa emplea el directorio «/tmp/helix-install»
para descargar en él los paquetes que se van a actualizar. Si dicho
directorio es creado por un usuario local, éste puede depositar en su
interior paquetes RPM arbitrarios.
La recomendación es que todos los usuarios que utilicen este servicio
actualicen a la versión 0.6 del mismo.
jcea@hispasec.com
Más información:
Última versión del instalador, incluyendo versiones para las
distribuciones linux más populares
http://spidermonkey.helixcode.com/
Deja un comentario