GNOME ‘register_application’函数安全漏洞

漏洞信息详情

GNOME ‘register_application’函数安全漏洞

• CNNVD编号：CNNVD-201208-687
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2012-3378
  
• 漏洞类型：
  
  
  加密问题
  
• 发布时间：
  
  2012-08-31
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2012-09-04
  
• 厂        商：
  
  gnome
• 漏洞来源：

GNOME 是Helix Code公司开发的用于Unix/Linux的桌面环境，它含有一个组件updater，自动下载其他组件的新版本并安装之。

GNOME at-spi2-atk 2.5.2版本中的atk-adaptor/bridge.c中的‘register_application’函数中存在漏洞，该漏洞源于未提供随机数生成器并生成可预测的临时文件名。本地攻击者可利用该漏洞通过在/tmp/at-spi2下的临时套接字文件的符号链接攻击，创建或截取文件。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://bugzilla.gnome.org/show_bug.cgi?id=678348

来源: bugzilla.gnome.org

链接:https://bugzilla.gnome.org/show_bug.cgi?id=678348

来源: MLIST

名称: [oss-security] 20120706 Re: Three CVE requests: at-spi2-atk, as31, naxsi

链接:http://www.openwall.com/lists/oss-security/2012/07/06/3

来源: MLIST

名称: [oss-security] 20120705 Three CVE requests: at-spi2-atk, as31, naxsi

链接:http://www.openwall.com/lists/oss-security/2012/07/05/1

来源: bugs.debian.org

链接:http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=678026