Lynx URI处理器任意命令执行漏洞

漏洞信息详情

Lynx URI处理器任意命令执行漏洞

• CNNVD编号：CNNVD-200810-391
• 危害等级： 超危
  
  
• CVE编号：
  CVE-2008-4690
  
• 漏洞类型：
  
  
  资料不足
  
• 发布时间：
  
  2005-11-11
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2009-01-31
  
• 厂        商：
  
  lynx
• 漏洞来源：
  Vade79※ v9@fakehal…

Lynx是一个基于文本的WWW浏览器。它不能够显示图像或Java句柄，所以执行速度非常快。

很多厂商的Lynx实现中存在远程命令注入漏洞，恶意站点可能利用此漏洞在客户机上执行任意命令。

Lynx允许通过\”lynxcgi;\” URI处理器执行本地cgi-bin程序。通常该处理器应仅限于特定的目录或程序。但是，由于多个平台的配置错误，默认设置允许任意站点指定将要运行的命令，这样就允许远程攻击者以运行Lynx用户的权限执行任意命令。

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://lynx.isc.org/current/lynx2.8.6dev.15.tar.Z

http://lynx.isc.org/current/lynx2.8.6dev.15.tar.bz2

http://lynx.isc.org/current/lynx2.8.6dev.15.tar.gz

http://lynx.isc.org/current/lynx2.8.6dev.15.zip

http://lynx.isc.org/current/2.8.6dev.15.patch.gz

http://security.gentoo.org/glsa/glsa-200511-09.xml

来源: FEDORA

名称: FEDORA-2008-9597

链接:https://www.redhat.com/archives/fedora-package-announce/2008-December/msg00143.html

来源: FEDORA

名称: FEDORA-2008-9550

链接:https://www.redhat.com/archives/fedora-package-announce/2008-December/msg00066.html

来源: XF

名称: lynx-lynxcgi-code-execution(46228)

链接:http://xforce.iss.net/xforce/xfdb/46228

来源: SECTRACK

名称: 1021105

链接:http://www.securitytracker.com/id?1021105

来源: REDHAT

名称: RHSA-2008:0965

链接:http://www.redhat.com/support/errata/RHSA-2008-0965.html

来源: MLIST

名称: [oss-security] 20081009 lynx lynxcgi handler flaw

链接:http://www.openwall.com/lists/oss-security/2008/10/09/2

来源: MANDRIVA

名称: MDVSA-2008:218

链接:http://www.mandriva.com/security/advisories?name=MDVSA-2008:218

来源: MANDRIVA

名称: MDVSA-2008:217

链接:http://www.mandriva.com/security/advisories?name=MDVSA-2008:217

来源: SECUNIA

名称: 33568

链接:http://secunia.com/advisories/33568

来源: SECUNIA

名称: 32967

链接:http://secunia.com/advisories/32967

来源: SECUNIA

名称: 32416

链接:http://secunia.com/advisories/32416

来源: SUSE

名称: SUSE-SR:2009:002

链接:http://lists.opensuse.org/opensuse-security-announce/2009-01/msg00004.html