製品・ソフトウェアに関する情報

JVN脆弱性詳細

Xfig における任意のファイルを読み取られる脆弱性

Title	Xfig における任意のファイルを読み取られる脆弱性
Summary	Xfig には、任意のファイルを読み取られる、および書き込まれる脆弱性が存在します。
Possible impacts	ローカルユーザにより、[PID] がプロセス ID の場合、以下に対するシンボリックリンク攻撃を介して、任意のファイルを読み取られる、および書き込まれる可能性があります。 (1) xfig-eps[PID] テンポラリファイル (2) xfig-pic[PID].pix テンポラリファイル (3) xfig-pic[PID].err テンポラリファイル (4) xfig-pcx[PID].pix テンポラリファイル (5) xfig-xfigrc[PID] テンポラリファイル (6) xfig[PID] テンポラリファイル (7) xfig-print[PID] テンポラリファイル (8) xfig-export[PID].err テンポラリファイル (9) xfig-batch[PID] テンポラリファイル (10) xfig-exp[PID] テンポラリファイル (11) xfig-spell.[PID] テンポラリファイル
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	June 7, 2009, midnight
Registration Date	Dec. 20, 2012, 7:10 p.m.
Last Update	Dec. 20, 2012, 7:10 p.m.

Affected System

Debian

Debian GNU/Linux 3.0

Xfig project

Xfig 3.2.5

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-1962	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1962
National Vulnerability Database (NVD)
2	CVE-2009-1962	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-1962

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-59	https://jvndb.jvn.jp/ja/cwe/CWE-59.html

ベンダー情報

No	Name	URL
Debian
1	Top Page	http://www.debian.org/
SourceForge
2	Xfig	https://sourceforge.net/projects/mcj/

Change Log

No	Changed Details	Date of change
0	[2012年12月20日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2009-1962

Summary	Xfig, possibly 3.2.5, allows local users to read and write arbitrary files via a symlink attack on the (1) xfig-eps[PID], (2) xfig-pic[PID].pix, (3) xfig-pic[PID].err, (4) xfig-pcx[PID].pix, (5) xfig-xfigrc[PID], (6) xfig[PID], (7) xfig-print[PID], (8) xfig-export[PID].err, (9) xfig-batch[PID], (10) xfig-exp[PID], or (11) xfig-spell.[PID] temporary files, where [PID] is a process ID.
Publication Date	June 8, 2009, 10 a.m.
Registration Date	Jan. 29, 2021, 1:19 p.m.
Last Update	Aug. 17, 2017, 10:30 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:xfig:xfig:3.2.5:::::::*
cpe:2.3:o:debian:debian_linux:4.0::alpha:::::
cpe:2.3:o:debian:debian_linux:4.0::amd64:::::
cpe:2.3:o:debian:debian_linux:4.0::arm:::::
cpe:2.3:o:debian:debian_linux:4.0::hppa:::::
cpe:2.3:o:debian:debian_linux:4.0::ia-32:::::
cpe:2.3:o:debian:debian_linux:4.0::ia-64:::::
cpe:2.3:o:debian:debian_linux:4.0::m68k:::::
cpe:2.3:o:debian:debian_linux:4.0::mips:::::
cpe:2.3:o:debian:debian_linux:4.0::mipsel:::::
cpe:2.3:o:debian:debian_linux:4.0::powerpc:::::
cpe:2.3:o:debian:debian_linux:4.0::s\/390:::::
cpe:2.3:o:debian:debian_linux:4.0::sparc:::::
cpe:2.3:o:debian:debian_linux:5.0::alpha:::::
cpe:2.3:o:debian:debian_linux:5.0::amd64:::::
cpe:2.3:o:debian:debian_linux:5.0::arm:::::
cpe:2.3:o:debian:debian_linux:5.0::armel:::::
cpe:2.3:o:debian:debian_linux:5.0::hppa:::::
cpe:2.3:o:debian:debian_linux:5.0::ia-32:::::
cpe:2.3:o:debian:debian_linux:5.0::ia-64:::::
cpe:2.3:o:debian:debian_linux:5.0::m68k:::::
cpe:2.3:o:debian:debian_linux:5.0::mips:::::
cpe:2.3:o:debian:debian_linux:5.0::mipsel:::::
cpe:2.3:o:debian:debian_linux:5.0::powerpc:::::
cpe:2.3:o:debian:debian_linux:5.0::s\/390:::::
cpe:2.3:o:debian:debian_linux:5.0::sparc:::::

Related information, measures and tools

No	URL	refsource
1	http://secunia.com/advisories/35320	SECUNIA
2	http://www.mandriva.com/security/advisories?name=MDVSA-2009:244	MANDRIVA
3	http://www.openwall.com/lists/oss-security/2009/04/01/6	MLIST
4	http://www.securityfocus.com/bid/34328	BID
5	https://exchange.xforce.ibmcloud.com/vulnerabilities/49600	XF

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-59	リンク解釈の問題	https://cwe.mitre.org/data/definitions/59.html

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:xfig:xfig:3.2.5:::::::*
cpe:2.3:o:debian:debian_linux:4.0::alpha:::::
cpe:2.3:o:debian:debian_linux:4.0::amd64:::::
cpe:2.3:o:debian:debian_linux:4.0::arm:::::
cpe:2.3:o:debian:debian_linux:4.0::hppa:::::
cpe:2.3:o:debian:debian_linux:4.0::ia-32:::::
cpe:2.3:o:debian:debian_linux:4.0::ia-64:::::
cpe:2.3:o:debian:debian_linux:4.0::m68k:::::
cpe:2.3:o:debian:debian_linux:4.0::mips:::::
cpe:2.3:o:debian:debian_linux:4.0::mipsel:::::
cpe:2.3:o:debian:debian_linux:4.0::powerpc:::::
cpe:2.3:o:debian:debian_linux:4.0::s\/390:::::
cpe:2.3:o:debian:debian_linux:4.0::sparc:::::
cpe:2.3:o:debian:debian_linux:5.0::alpha:::::
cpe:2.3:o:debian:debian_linux:5.0::amd64:::::
cpe:2.3:o:debian:debian_linux:5.0::arm:::::
cpe:2.3:o:debian:debian_linux:5.0::armel:::::
cpe:2.3:o:debian:debian_linux:5.0::hppa:::::
cpe:2.3:o:debian:debian_linux:5.0::ia-32:::::
cpe:2.3:o:debian:debian_linux:5.0::ia-64:::::
cpe:2.3:o:debian:debian_linux:5.0::m68k:::::
cpe:2.3:o:debian:debian_linux:5.0::mips:::::
cpe:2.3:o:debian:debian_linux:5.0::mipsel:::::
cpe:2.3:o:debian:debian_linux:5.0::powerpc:::::
cpe:2.3:o:debian:debian_linux:5.0::s\/390:::::
cpe:2.3:o:debian:debian_linux:5.0::sparc:::::