eyeD3 for Python 后置链接漏洞

漏洞信息详情

eyeD3 for Python 后置链接漏洞

• CNNVD编号：CNNVD-201405-190
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2014-1934
  
• 漏洞类型：
  
  
  后置链接
  
• 发布时间：
  
  2014-05-12
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2014-05-12
  
• 厂        商：
  
  travis_shirk
• 漏洞来源：

eyeD3（也称python-eyed3）是一个Python程序和模块，它提供了读写ID3标签的功能，同时可检测MP3文件的头信息，包括比特率、采样频率和播放时间等。

Python eyeD3 0.7.3版本和0.6.18及之前版本的tag.py文件中存在安全漏洞。本地攻击者可通过对临时文件实施符号链接攻击利用该漏洞修改天任意文件。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://eyed3.nicfit.net/changelog.html

来源:SUSE

名称:openSUSE-SU-2014:0619

链接:http://lists.opensuse.org/opensuse-updates/2014-05/msg00027.html

来源:bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=1063671

来源:SUSE

名称:openSUSE-SU-2014:0620

链接:http://lists.opensuse.org/opensuse-updates/2014-05/msg00028.html

来源:bugs.debian.org

链接:https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=737062