lv处理配置文件权不当导致限提升漏洞

漏洞信息详情

lv处理配置文件权不当导致限提升漏洞

• CNNVD编号：CNNVD-200306-038
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2003-0188
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2003-05-16
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  lv
• 漏洞来源：
  Leonard Stiles

lv是一款强大的文件查看程序，类似less，可以通过编码系统如ISO-8859、ISO-2022、EUC、SJIS Big5、HZ和Unicode对多语言流进行编码和解码。
lv在读取配置文件时缺少正确检查，本地攻击者可以利用这个漏洞构建恶意配置文件，以其他用户权限执行任意命令。
lv可以从当前目录的配置文件中读取选项，并可以lv配置选项可以用于执行命令，本地攻击者可以使用这个文件放置到任意他们具有写权限的目录中，任何用户在那个包含恶意配置文件的目录中执行lv，并使用v(edit)命令时可以迫使执行任意命令(可能是root用户权限)。

厂商补丁：
Debian
——

http://www.debian.org/security/2003/dsa-304

来源: REDHAT
名称: RHSA-2003:169
链接:http://www.redhat.com/support/errata/RHSA-2003-169.html

来源: DEBIAN
名称: DSA-304
链接:http://www.debian.org/security/2003/dsa-304

来源: TURBO
名称: TLSA-2003-35
链接:http://www.turbolinux.com/security/TLSA-2003-35.txt

来源: REDHAT
名称: RHSA-2003:167
链接:http://www.redhat.com/support/errata/RHSA-2003-167.html

来源: US Government Resource: oval:org.mitre.oval:def:430
名称: oval:org.mitre.oval:def:430
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:430