a2ps filename 命令执行漏洞

漏洞信息详情

a2ps filename 命令执行漏洞

• CNNVD编号：CNNVD-200501-145
• 危害等级： 超危
  
  
• CVE编号：
  CVE-2004-1170
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2005-01-10
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  suse
• 漏洞来源：
  Discovery of this …

PostScript是一种适用于电子产业和桌面出版领域的页面描述语言和编程语言。a2ps是GNU计划开发的一款支持将任何类型的文件转换为PostScript文件的软件包。
a2ps 4.13版本存在命令执行漏洞。
远程攻击者可通过包含Shell元字符的文件名执行任意命令。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：
http://ftp.gnu.org/gnu/a2ps/

来源: BID
名称: 11025
链接:http://www.securityfocus.com/bid/11025

来源: FULLDISC
名称: 20040824 a2ps executing shell commands from file name
链接:http://archives.neohapsis.com/archives/fulldisclosure/2004-08/1026.html

来源: XF
名称: gnu-a2ps-gain-privileges(17127)
链接:http://xforce.iss.net/xforce/xfdb/17127

来源: MISC
链接:http://www.securiteam.com/unixfocus/5MP0N2KDPA.html

来源: SUSE
名称: SUSE-SA:2004:034
链接:http://www.novell.com/linux/security/advisories/2004_34_xfree86_libs_xshared.html

来源: SECUNIA
名称: 12375
链接:http://secunia.com/advisories/12375

来源: CONFIRM
名称: http://bugs.debian.org/283134
链接:http://bugs.debian.org/283134

来源: FEDORA
名称: FLSA:152870
链接:http://www.securityfocus.com/archive/1/archive/1/419765/100/0/threaded

来源: MANDRAKE
名称: MDKSA-2004:140
链接:http://www.mandriva.com/security/advisories?name=MDKSA-2004:140

来源: SUNALERT
名称: 57649
链接:http://sunsolve.sun.com/search/document.do?assetkey=1-26-57649-1&searchclause=

来源: OPENPKG
名称: OpenPKG-SA-2005.003
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110598355226660&w=2