GNU Enscript Multiple Vulnerabilities

漏洞名稱： GNU Enscript Multiple Vulnerabilities
漏洞編號： ICST-CA-2005-024
漏洞說明： GNU Enscript目前被指出存在數個漏洞。

第一個漏洞來自於Enscript沒有確認使用者輸入的資料，導致藉機執行不明指令的可能。

另外Enscript的工具軟體也被報告出存在數個尚未確認的緩衝區溢位漏洞。這些漏洞來自於沒有做好緩衝區的邊界檢查，就直接將資料拷貝至緩衝區中。

因為Enscript並沒有提供網路的功能，所以這些問題都是本機端的漏洞。但是如果Enscript搭配其他具有網路功能的軟體，例如"viewcvs"，就有可能讓有心人士透過遠端網路進行入侵。Enscript雖然沒有利用setuid作為取得權限的管道，但是幾乎每一個UNIX列印系統都使用Enscript，因此漏洞的影響是不能輕忽的。


影響平台： GNU Enscript 1.4
GNU Enscript 1.5
GNU Enscript 1.6
GNU Enscript 1.6.1
GNU Enscript 1.6.3
GNU Enscript 1.6.4

影響狀況： 緩衝區溢位、非法權限取得、執行不合法的指令


解決方案： 各家套件廠商已經針對該問題發出安全會報，並且提供更新，詳細情形請參閱參考資料。


參考資料： GNU Enscript Multiple Vulnerabilities

x0