发布日期：2002-05-28
更新日期：2002-06-03

受影响系统：

Steve Sachs Charities.cron 1.6.0
Steve Sachs Charities.cron 1.5.0
Steve Sachs Charities.cron 1.1.1
Steve Sachs Charities.cron 1.0.2

不受影响系统：

Steve Sachs Charities.cron 1.7.0

描述：

---

BUGTRAQ  ID: 4869
CVE(CAN) ID: CVE-2002-1838

Charities.cron是一款gawk脚本，每天由cron运行。

Charities.cron在建立临时文件时不够安全，可导致本地攻击者进行符号链接攻击。

Charities.cron在运行时会建立临时文件，但建立时没有对文件是否存在进行检查，而且建立的文件名称是可预测的，本地攻击者可以建立符号链接指向任意系统文件，造成文件被破坏，产生拒绝服务攻击，也存在权限提升攻击的可能。

<**>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时没有合适的临时解决方法。

厂商补丁：

Steve Sachs
-----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Steve Sachs Upgrade Charities.cron 1.7.0
http://www.stevesachs.com/index.cgi?go=/charities.cron

浏览次数：2732
严重程度：0（网友投票）