ldns ldns-keygen 本地不安全文件权限漏洞

漏洞信息详情

ldns ldns-keygen 本地不安全文件权限漏洞

• CNNVD编号：CNNVD-201406-573
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2014-3209
  
• 漏洞类型：
  
  
  权限许可和访问控制
  
• 发布时间：
  
  2014-05-03
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2014-11-17
  
• 厂        商：
  
  nlnetlabs
• 漏洞来源：
  Leon Weber

ldns是荷兰Stichting NLnet实验室的一个基于C语言的且用于简化DNS设计的库。ldns-keygen是其中的一个为DNSSEC（DNS安全扩展）生成公私密钥对的工具。

ldns 1.6.x版本的ldns-keygen工具中存在安全漏洞，该漏洞源于程序使用当前的umask设置私钥的权限。本地攻击者可通过读取文件利用该漏洞获取私钥。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://www.nlnetlabs.nl/bugs-script/show_bug.cgi?id=573

来源:MLIST

链接:http://www.openwall.com/lists/oss-security/2014/05/03/2

来源:MLIST

链接:http://www.openwall.com/lists/oss-security/2014/05/05/4

来源:BID

链接:http://www.securityfocus.com/bid/67200

来源:bugs.debian.org

链接:https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=746758

来源:www.nlnetlabs.nl

链接:https://www.nlnetlabs.nl/bugs-script/show_bug.cgi?id=573

来源:SECUNIA

链接:http://secunia.com/advisories/58564

来源:SECUNIA

链接:http://secunia.com/advisories/59651