pigz 竞争条件漏洞

漏洞信息详情

pigz 竞争条件漏洞

• CNNVD编号：CNNVD-201302-410
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2013-0296
  
• 漏洞类型：
  
  
  权限许可和访问控制
  
• 发布时间：
  
  2013-02-25
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2014-04-29
  
• 厂        商：
  
  zlib
• 漏洞来源：
  Michael Tokarev

pigz是美国软件开发者Mark Adler所研发的一套用于替代gzip的文件压缩应用程序。

pigz 2.2.4-1及之前的版本中存在竞争条件漏洞，该漏洞源于在解压缩期间程序使用错误的全局可写权限。本地攻击者可利用该漏洞绕过既定的访问限制。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://zlib.net/pigz/

来源:MLIST

名称:[oss-security] 20130215 Re: CVE# request: pigz creates temp file with insecure permissions

链接:http://www.openwall.com/lists/oss-security/2013/02/16/3

来源:bugs.debian.org

链接:https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=700608

来源:MLIST

名称:[oss-security] 20130215 CVE# request: pigz creates temp file with insecure permissions

链接:http://www.openwall.com/lists/oss-security/2013/02/15/4

来源:SUSE

名称:openSUSE-SU-2013:0540

链接:http://lists.opensuse.org/opensuse-updates/2013-03/msg00106.html

来源:MLIST

名称:[pigz-announce] 20120728 pigz version 2.2.5 released

链接:http://mail.zlib.net/pipermail/pigz-announce_zlib.net/2012-July/000006.html

来源: BID

名称: 57971

链接:http://www.securityfocus.com/bid/57971