libwww-perl库lwp-download不安全下载文件名验证漏洞 | ZeroBox Vulnerability Database

首页

菜单

libwww-perl库lwp-download不安全下载文件名验证漏洞

发表评论 (0) 查看评论

受影响系统：

CPAN libwww-perl <= 5.834

不受影响系统：

CPAN libwww-perl 5.835

描述：

libwww-perl是Perl软件包中所使用的函数库，提供到WWW的简单编程接口。

libwww-perl库中的lwp-download没有拒绝文件名以句号字符（.）开始的下载，远程服务器可以通过到特制文件名URL的3xx重新定向或建议特制文件名的Content-Disposition头诱骗用户向本地磁盘下载非预期的文件。

<*来源：Solar Designer （solar@openwall.com）
        Hank Leininger

  链接：http://bugzilla.maptools.org/show_bug.cgi?format=multiple&id=2210
        https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=591580
        https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=602800
*>

建议：

厂商补丁：

CPAN
—-
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://cpansearch.perl.org/src/GAAS/libwww-perl-5.836/Changes

← LibTIFF库忽略文件标签拒绝服务漏洞

GNU Wget不安全下载文件名验证漏洞 →

发表评论？

0 条评论。

发表评论

要发表评论，您必须先登录。