Blender在终止时创建不安全临时文件漏洞

Blender在终止时创建不安全临时文件漏洞 Blender是一款免费的3D建模软件。Blender在终止的时候创建了/tmp/quit.blend文件，而该文件使用了容易猜测的文件名并使用不安全的文件权限存储临时渲染帧，在自动保存文件时也使用了不安全的文件权限。本地安全者可以通过符号链接安全以运行Blender用户的权限覆盖任意文件，或泄露敏感信息。 

发布日期：2008-04-25 

更新日期：2008-05-19 

受影响系统： 

Blender Foundation Blender 2.45 

描述： 

---------------------------------------------------------------------------- 

BUGTRAQ ID: 28936 

CVE(CAN) ID: CVE-2008-1103 

Blender是一款免费的3D建模软件。 

Blender在终止的时候创建了/tmp/quit.blend文件，而该文件使用了容易猜测的文件名并使用不安全的文件权限存储临时渲染帧，在自动保存文件时也使用了不安全的文件权限。本地安全者可以通过符号链接安全以运行Blender用户的权限覆盖任意文件，或泄露敏感信息。 

<*来源：Marcus Meissner （meissner@suse.de） 

链接：http://lists.opensuse.org/opensuse-security-announce/2008-04/msg00011.html 

http://secunia.com/advisories/29842/ 

http://security.gentoo.org/glsa/glsa-200805-12.xml 

*> 

建议： 

---------------------------------------------------------------------------- 

厂商补丁： 

Gentoo 

------ 

Gentoo已经为此发布了一个安全公告（GLSA-200805-12）以及相应补丁: 

GLSA-200805-12：Blender: Multiple vulnerabilities 

链接：http://security.gentoo.org/glsa/glsa-200805-12.xml 

所有Blender用户都应升级到最新版本： 

# emerge --sync 

# emerge --ask --oneshot --verbose ">=media-gfx/blender-2.43-r2"