安全研究
安全漏洞
Man-db DEFINE任意命令执行漏洞
发布日期:2003-08-02
更新日期:2003-08-08
受影响系统:man man 2.4.1
man man 2.3.20
描述:
BUGTRAQ ID:
8341
CVE(CAN) ID:
CVE-2003-0645
man是多种系统下查看帮助手册的工具。man-db在Debian系统中提供标准man(1)命令。
man-db不正确处理'~/.manpath'文件中的DEFINE指示,本地攻击者可以利用这个漏洞以man用户权限在系统上执行任意命令。
在'~/.manpath'文件中,部分DEFINE指示包含要执行的命令,因此攻击者可以修改此命令指示,以man用户权限在系统上执行任意命令。默认情况下不以'man'属性安装,但是安装man-db时会提示是否要以'man'属性安装。
<*来源:Debian Security Advisory
链接:
http://www.debian.org/security/2003/dsa-364
*>
建议:
厂商补丁:
Debian
------
http://www.debian.org/security/2003/dsa-364浏览次数:2891
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障 |
