GNU LibTool不安全方式创建临时目录漏洞

漏洞信息详情

GNU LibTool不安全方式创建临时目录漏洞

• CNNVD编号：CNNVD-200411-145
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2004-0256
  
• 漏洞类型：
  
  
  未知
  
• 发布时间：
  
  2004-01-29
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2005-05-13
  
• 厂        商：
  
  gnu
• 漏洞来源：
  Stefan Nordhausen

GNU libtool是一个通用库支持脚本，将使用动态库的复杂性隐藏在统一、可移植的接口中。
GNU libtool不安全建立临时目录，本地攻击者可以利用这个漏洞以调用脚本用户权限破坏任意文件。
当工具用libtool编译时会不安全的建立临时目录，攻击者可以通过建立符号链接，以调用脚本用户权限破坏任意文件。目前没有详细漏洞细节提供。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 在”ltmain.in”或者”libtool”中，需要使用如下行：

if $mkdir “$tmpdir” && chmod 700 “$tmpdir”; then :

替代：

if $mkdir -p “$tmpdir” && chmod 700 “$tmpdir”; then :
厂商补丁：
GNU
—
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载使用libtool 1.5.2版本：

http://www.gnu.org/software/libtool/libtool.html” target=”_blank”>
http://www.gnu.org/software/libtool/libtool.html

来源: BID
名称: 9530
链接:http://www.securityfocus.com/bid/9530

来源: XF
名称: libtool-insecure-temp-directory(15017)
链接:http://xforce.iss.net/xforce/xfdb/15017

来源: BUGTRAQ
名称: 20040130 Symlink Vulnerability in GNU libtool <1.5.2
链接:http://www.securityfocus.com/archive/1/352333

来源: OSVDB
名称: 3795
链接:http://www.osvdb.org/3795

来源: www.geocrawler.com
链接:http://www.geocrawler.com/mail/msg.php3?msg_id=3438808&list=405

来源: SECUNIA
名称: 10777
链接:http://secunia.com/advisories/10777

来源: CONECTIVA
名称: CLA-2004:811
链接:http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000811