GNU C库"locale"应用漏洞

漏洞起因
设计错误
危险等级

 
影响系统
GNU C Library (glibc) 2.x
 
不受影响系统
 
危害
本地攻击者可以利用漏洞以高特权执行任意命令。
 
攻击所需条件
攻击者必须访问GNU glibc所在系统。
 
漏洞信息
GNU glibc是一款Linux操作系统中C库的实现。
由于"locale"命令没有正确引用它的输出,通过设置恶意locale环境变量,如LANG设置为’ rm -rf /’,以不同特权执行脚本可以高权限执行"locale"的输出。
 
测试方法
 
厂商解决方案
GNU C Library (glibc) 2.13已经修复此漏洞,建议用户下载使用:
http://www.gnu.org/software/libc/libc.html
 
漏洞提供者
Harald van Dijk
  
 
漏洞消息链接
http://secunia.com/advisories/43976/
http://sourceware.org/bugzilla/show_bug.cgi?id=11904

发表评论?

0 条评论。

发表评论