LPM version 1.60 のリリース【重要なセキュリティパッチ】

[Masahiro Kasahara]

みなさま、

LPM ver 1.60 を公開しました。
重大なセキュリティ上の問題点を修正していますので、
全てのユーザーは速やかにアップデートしてください。

* LPM 1.59 以前のセキュリティ上の問題点
LPM が LD_LIBRARY_PATH をセットする方法に誤りがありました。
LD_LIBRARY_PATH がセットされていない、もしくは空のシステムで
LPM が空のパスを含む LD_LIBRARY_PATH をセットします。
この状態で、/tmp など（他者が書き込めるため）信頼できない
ディレクトリをカレントディレクトリとした状態でユーザーが何か
プログラムを実行すると、信頼できないディレクトリに予め
仕掛けられていた悪意のあるコードを実行してしまいます。

この問題は一番最初期のバージョンから存在しており、全ての
ユーザーは速やかに最新版へアップデートする必要があります。

* 問題の修正方法
'lpm updateself' コマンドを用いて最新版へのアップデートを
行って下さい。アップデートを行っても、Ver 1.59 以前の LPM が
生成したシェルスクリプトを全て修正するまでは問題が残っています。

システムにログインした直後に 'lpm list' など、'lpm help' 以外の
サブコマンドを実行してください。LPM は問題があるかどうかを自動
で検査し、問題があれば修正方法をコンソールに表示して終了します。
問題があるうちは LPM は動作しないように作られています。

いままでに自分自身で LD_LIBRARY_PATH を設定していなければ、
画面に表示されるコマンドを１つ入力するだけで問題は修正されます。
問題の修正が終わったら速やかに再ログインしてください。

自分自身で LD_LIBRARY_PATH を設定しているやり方に同様の問題が
ある場合には、上記の方法では修正できない場合もあります。
手詰まりになった場合にはＭＬで相談してください。

* その他の修正
MacOS X でトップディレクトリの認識が上手く行っていなかった問題を
修正しています。

後藤直久さんにセキュリティ問題の報告を頂き大変感謝しています。
また、数人の貢献者の方にはセキュリティパッチのレビューをして
頂きました。ありがとうございました。


笠原 雅弘