| |
GNU Tar contains_dot_dot函数远程目录遍历漏洞
佚名 2007年09月06日 来源:反病毒小组整理 我要发布文章 |
| |
欢迎进入反病毒社区论坛,与技术人员互动交流进入
受影响系统:
GNU tar <= 1.15.91
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 25417
CVE(CAN) ID: CVE-2007-4131 GNU tar可创建和解压tar文档,并进行各种存档文件管理。 GNU tar在处理符号链接时存在漏洞,本地攻击者可能利用此漏洞提升权限或破坏文件。 GNU tar的contains_dot_dot函数没有正确地检查目录符号链接的名称,恶意用户所创建tar文档可以写入运行GNU tar的用户可写访问的任意文件。 <*来源:Tomas Hoger (thoger@redhat.com)
链接:http://bugzilla.redhat.com/bugzilla/long_list.cgi?buglist=251921
http://secunia.com/advisories/26573/
https://www.redhat.com/support/errata/RHSA-2007-0860.html
*> 建议:
--------------------------------------------------------------------------------
厂商补丁: RedHat
------
RedHat已经为此发布了一个安全公告(RHSA-2007:0860-01)以及相应补丁:
RHSA-2007:0860-01:Moderate: tar security update
链接:https://www.redhat.com/support/errata/RHSA-2007-0860.html
www.china-antivirus.com
|
| |
|
| |
| |
□- 本周热门文章 |
□- 常用专杀下载 |
□- 服务器安全文章 |
| |
|
|
|
| |
| |
| |
| |
| |
|
