Opera命令行URL Shell命令注入漏洞

漏洞信息详情

Opera命令行URL Shell命令注入漏洞

• CNNVD编号：CNNVD-200511-353
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2005-3750
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2005-11-22
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-11-30
  
• 厂        商：
  
  opera_software
• 漏洞来源：
  Peter Zelezny pet…

Opera是挪威欧朋（Opera Software）公司所开发的一款Web浏览器，它支持多窗口浏览、可定制用户界面等。

Opera在处理URL字串时存在输入验证漏洞，远程攻击者可能利用此漏洞在主机上执行任意系统命令。如果攻击者在URL中嵌入反引号包含的Shell命令，那么Opera可能在处理URL串的过程中执行攻击者指定的系统命令，这样攻击者就可以通过诱骗用户访问恶意链接执行任意Shell命令。 请注意只有在基于Unix/Linux的环境中才能利用这个漏洞。

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载8.51版本：

http://www.opera.com/download/

来源: BID

名称: 15521

链接:http://www.securityfocus.com/bid/15521

来源: BUGTRAQ

名称: 20051122 Secunia Research: Opera Command Line URL Shell Command Injection

链接:http://www.securityfocus.com/archive/1/archive/1/417393/30/0/threaded

来源: OSVDB

名称: 21003

链接:http://www.osvdb.org/21003

来源: SECTRACK

名称: 1015253

链接:http://securitytracker.com/id?1015253

来源: MISC

链接:http://secunia.com/secunia_research/2005-57/advisory/

来源: SECUNIA

名称: 16907

链接:http://secunia.com/advisories/16907

来源: FULLDISC

名称: 20051122 Secunia Research: Opera Command Line URL Shell Command Injection

链接:http://archives.neohapsis.com/archives/fulldisclosure/2005-11/0677.html

来源: www.opera.com

链接:http://www.opera.com/docs/changelogs/linux/851/

来源: VUPEN

名称: ADV-2005-2519

链接:http://www.frsirt.com/english/advisories/2005/2519

来源: SUSE

名称: SUSE-SR:2005:028

链接:http://www.novell.com/linux/security/advisories/2005_28_sr.html

来源: GENTOO

名称: GLSA-200512-10

链接:http://www.gentoo.org/security/en/glsa/glsa-200512-10.xml

来源: SREASON

名称: 199

链接:http://securityreason.com/securityalert/199

来源: SECUNIA

名称: 18111

链接:http://secunia.com/advisories/18111