Info-ZIP UnZip本地权限提升漏洞
发布日期:2005-08-03
更新日期:2005-08-03
受影响系统:
Info-ZIP UnZip 5.51不受影响系统:
Info-ZIP UnZip 5.50
Info-ZIP UnZip 5.42
Info-ZIP UnZip 5.41
Info-ZIP UnZip 5.40
Info-ZIP UnZip 5.32
Info-ZIP UnZip 5.31
Info-ZIP UnZip 5.3
Info-ZIP UnZip 5.2
Info-ZIP UnZip 5.52描述:
BUGTRAQ ID: 14447
CVE(CAN) ID: CVE-2005-0602
unzip是在Unix下对.zip文件格式进行解压的工具。
Info-ZIP unzip中存在权限提升漏洞,成功利用这个漏洞的攻击者可以以root权限执行任意命令。。
如果ZIP文档中包含有设置了setuid和/或setgid位的二进制程序的话,在解压这些文档时unzip会保留这些位。攻击者可以通过诱骗管理员将包含setuid-root二进制程序解压到可访问的目录中来利用这个漏洞。
<*来源:Martin Pitt (martin.pitt@canonical.com)
链接:http://www.ubuntulinux.org/support/documentation/usn/usn-159-1
*>
建议:
厂商补丁:
Info-ZIP
--------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载5.52版本:
* Info-ZIP Upgrade unzip552.tar.gz
http://ftp.info-zip.org/pub/infozip/src/unzip552.tar.gz
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
