GNOME Eye Of Gnome文件名处理格式串漏洞

漏洞信息详情

GNOME Eye Of Gnome文件名处理格式串漏洞

• CNNVD编号：CNNVD-200304-008
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2003-0165
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2003-03-28
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  gnome
• 漏洞来源：
  Core Security Tech…

Eye Of Gnome是一款图象查看器，是GNOME桌面包含的程序。
Eye Of Gnome对用户提供的文件名参数缺少正确检查，本地或远程攻击者可以提交包含恶意文件名的文件给EOG处理，导致发生堆破坏，可能以EOG进程权限在系统上执行任意指令。
EOG接收图象问名作为命令行参数，程序没有充分过滤参数数据，提供包含格式字符串的文件名可以破坏堆栈内容，精心提交文件名数据可能以EOG进程权限在系统上执行任意指令。

厂商补丁：
GNOME
—–
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

ftp://ftp.gnome.org/pub/GNOME/sources/eog/2.2/

来源:US-CERT Vulnerability Note: VU#363001
名称: VU#363001
链接:http://www.kb.cert.org/vuls/id/363001

来源: BID
名称: 7121
链接:http://www.securityfocus.com/bid/7121

来源: REDHAT
名称: RHSA-2003:128
链接:http://www.redhat.com/support/errata/RHSA-2003-128.html

来源: BUGTRAQ
名称: 20030328 CORE-2003-0304-03: Vulnerability in GNOME’s Eye of Gnome
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=104887189724146&w=2

来源: VULNWATCH
名称: 20030328 Vulnerability in GNOME’s Eye of Gnome
链接:http://archives.neohapsis.com/archives/vulnwatch/2003-q1/0157.html

来源: MANDRAKE
名称: MDKSA-2003:048
链接:http://www.mandriva.com/security/advisories?name=MDKSA-2003:048

来源: www.coresecurity.com
链接:http://www.coresecurity.com/common/showdoc.php?idx=312&idxseccion=10

来源: US Government Resource: oval:org.mitre.oval:def:52
名称: oval:org.mitre.oval:def:52
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:52