发布日期：2003-05-16
更新日期：2003-05-21

受影响系统：

lv lv 4.49.3
lv lv 4.49.2
lv lv 4.49.1
lv lv 4.49.4
    - Debian Linux 3.0 68k
    - Debian Linux 3.0 i386
    - Debian Linux 3.0 sparc
    - Debian Linux 3.0 alpha
    - Debian Linux 3.0 IA-32
    - Debian Linux 3.0 arm
    - Debian Linux 3.0 powerpc
    - RedHat Linux 9.0
    - RedHat Linux 8.0
    - RedHat Linux 7.3
    - RedHat Linux 7.2
    - RedHat Linux 7.1

不受影响系统：

lv lv 4.49.5

描述：

---

BUGTRAQ  ID: 7613
CVE(CAN) ID: CVE-2003-0188

lv是一款强大的文件查看程序，类似less，可以通过编码系统如ISO-8859、ISO-2022、EUC、SJIS Big5、HZ和Unicode对多语言流进行编码和解码。

lv在读取配置文件时缺少正确检查，本地攻击者可以利用这个漏洞构建恶意配置文件，以其他用户权限执行任意命令。

lv可以从当前目录的配置文件中读取选项，并可以lv配置选项可以用于执行命令，本地攻击者可以使用这个文件放置到任意他们具有写权限的目录中，任何用户在那个包含恶意配置文件的目录中执行lv，并使用v(edit)命令时可以迫使执行任意命令(可能是root用户权限)。

<*来源：Leonard Stiles
  
  链接：http://www.debian.org/security/2003/dsa-304
*>

建议：

---

厂商补丁：

Debian
------
http://www.debian.org/security/2003/dsa-304

浏览次数：3240
严重程度：0（网友投票）