GNU gzexe临时文件命令执行漏洞

漏洞信息详情

GNU gzexe临时文件命令执行漏洞

• CNNVD编号：CNNVD-200412-039
• 危害等级： 超危
  
  
• CVE编号：
  CVE-2004-0603
  
• 漏洞类型：
  
  
  其他
  
• 发布时间：
  
  2004-06-24
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  gnu
• 漏洞来源：
  Gentoo Linux Secur…

GNU gzexe是一个压缩可执行文件的工具。
gzexe在建立临时文件时存在问题，本地攻击者可以利用这个漏洞以用户进程权限执行任意命令。
gzexe在建立临时文件时，如果建立文件设备，gzexe就会去执行参数程序，因此如果攻击者提供恶意参数，在某些情况下建立文件失败，就可能以用户进程权限执行恶意命令。

厂商补丁：
GNU
—
Gentoo系统可按照如下命令升级：

# emerge sync

# emerge -pv “>=app-arch/gzip-1.3.3-r4”

# emerge “>=app-arch/gzip-1.3.3-r4”

来源: XF
名称: gzip-gzexe-tmpfile(16506)
链接:http://xforce.iss.net/xforce/xfdb/16506

来源: BID
名称: 10603
链接:http://www.securityfocus.com/bid/10603

来源: GENTOO
名称: GLSA-200406-18
链接:http://security.gentoo.org/glsa/glsa-200406-18.xml

来源: bugs.gentoo.org
链接:http://bugs.gentoo.org/show_bug.cgi?id=54890