GNU glibc Locale Environment Handling 目录遍历漏洞

漏洞信息详情

GNU glibc Locale Environment Handling 目录遍历漏洞

• CNNVD编号：CNNVD-201407-580
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2014-0475
  
• 漏洞类型：
  
  
  路径遍历
  
• 发布时间：
  
  2014-07-29
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-07-30
  
• 厂        商：
  
  gnu
• 漏洞来源：
  Stephane Chazelas

GNU C Library（又名glibc，libc6）是一种按照LGPL许可协议发布的开源免费的C语言编译程序。

GNU C Library 2.20之前版本中存在目录遍历漏洞，该漏洞源于程序未充分过滤某些本地环境变量（如LC_*，LANG等）。上下文相关的攻击者可通过环境变量中的目录遍历字符‘..’绕过ForceCommand限制或造成其他影响。

目前厂商已经发布了升级补丁以修复此安全问题，详情请关注厂商主页：

http://www.gnu.org/software/libc/

来源:MLIST

链接:http://www.openwall.com/lists/oss-security/2014/07/10/7

来源:SECTRACK

链接:http://www.securitytracker.com/id/1030569

来源:MLIST

链接:http://www.openwall.com/lists/oss-security/2014/07/14/6

来源:sourceware.org

链接:https://sourceware.org/bugzilla/show_bug.cgi?id=17137

来源:DEBIAN

链接:http://www.debian.org/security/2014/dsa-2976

来源: BID

链接:http://www.securityfocus.com/bid/68505