Txt2man 不安全临时文件创建漏洞(CVE-2013-1444)
Txt2man 不安全临时文件创建漏洞(CVE-2013-1444)
发布日期:2013-09-30
更新日期:2013-10-13
受影响系统:
mvertes Txt2man 1.5.5
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 62716
CVE(CAN) ID: CVE-2013-1444
Txt2man是用gnu awk编写的shell脚本,运行在Unix类系统上,可以将平ASCII文本转换为手册页格式。
Debian Linux上的txt2man创建临时文件的方式不安全,这可使本地攻击者对/tmp/2222文件执行符号链接攻击,造成程序意外覆盖任意文件。
<*来源:Patrick J Cherry
链接:http://osvdb.org/97769
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
mvertes
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://mvertes.free.fr/
参考:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=724614
http://osvdb.org/97769
http://seclists.org/oss-sec/2013/q3/660
http://www.ubuntu.com/usn/USN-1979-1
评论暂时关闭