po4a不安全方式创建临时文件时存在漏洞
发布日期:2007-08-22
更新日期:2007-08-23
受影响系统:
po4a po4a 0.31
po4a po4a 0.30
不受影响系统:
po4a po4a 0.32
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 25402
CVE(CAN) ID: CVE-2007-4462
po4a是Debian平台下使用的文档翻译工具。
po4a在创建临时文件时存在漏洞,本地攻击者可能利用此漏洞提升自己的权限。
po4a的lib/Locale/Po4a/Po.pm文件中的gettextize()函数以不安全的方式创建/tmp/gettextization.failed.po文件,这允许本地攻击者通过符号链接进行攻击,以运行po4a-gettextize工具用户的权限覆盖任意文件。
<*来源:po4a
链接:http://secunia.com/advisories/26492/
http://alioth.debian.org/frs/shownotes.php?release_id=1019
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
po4a
----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://alioth.debian.org/frs/download.php/2108/po4a-0.32.tar.gz
()
最新相关文章发表评论- 网银存款丢失 数百用户欲起诉工行
- 网银证券账户被盗案频发 CFCA发安全提示
- po4a不安全方式创建临时文件时存在漏洞
- “QQ通行证变种YRV”窃取用户QQ号码及密码
- 02.05—02.11病毒预报
- 最新Windows Vista升级补丁发布
- 重点关注:下载电影需警惕“蓝屏使用者”
- 梦幻西游盗号木马下载病毒并盗号
- 新病毒:让被感染的计算机发出语音提醒
- Asterisk 畸形MIME 体远程拒绝服务漏洞
- 蠕虫 Win32/Acnatt.A 生成其它恶意程序
- 居安思危 网络风险评估安全防线解析
- “木马下载器”忙着下木马 “QQ之盗”盗账号
- Total Commander远程FTP客户端目录遍历漏洞
- 谨防伪装为节日祝福电子邮件的病毒