GNU Libtool libltdl库搜索路径本地权限提升漏洞

发表评论 (0) 查看评论

受影响系统:

GNU libtool 2.2.6
GNU libtool 1.5.x

不受影响系统:

GNU libtool 2.2.6b

描述:

GNU libtool是一个通用库支持脚本,将使用动态库的复杂性隐藏在统一、可移植的接口中。

GNU Libtool的libltdl库中的ltdl.c文件将当前工作目录用作了库的搜索路径,如果攻击者创建了恶意的共享对象或.la文件并诱骗用户使用同一目录中的libtool库执行应用程序,就会导致执行任意代码。

<*来源:Vincent Danen
  
  链接:http://secunia.com/advisories/37414
        https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=537941
*>

测试方法:

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

 

https://bugzilla.redhat.com/attachment.cgi?id=372311

建议:

厂商补丁:

GNU

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://lists.gnu.org/archive/html/libtool/2009-11/msg00059.html

发表评论?

0 条评论。

发表评论