发布日期：2003-08-08
更新日期：2003-08-13

受影响系统：

RedHat up2date 3.0.7-1
    - RedHat Linux 8.0 x86
RedHat up2date 3.1.23-1
    - RedHat Linux 9.0 x86
RedHat up2date-gnome 3.0.7-1
    - RedHat Linux 8.0 x86
RedHat up2date-gnome 3.1.23-1
    - RedHat Linux 9.0 x86

描述：

---

BUGTRAQ  ID: 8372
CVE(CAN) ID: CVE-2003-0546

Red Hat Linux Up2Date是一款系统自动升级工具。

Red Hat Linux Up2Date不充分验证从网络下载的RPM包的GPG签名，远程攻击者可以利用这个漏洞提供没有签名的RPM包，下载并安装到目标系统里。

不过要利用这个漏洞，需要攻击者控制RedHat网络，但是由于使用up2date升级，通过SSL连接RedHat网络服务，并需要验证，因此基本不可能截获连接信息。所以只有入侵RedHat网络才能利用此漏洞。

<*来源：Red Hat Security Advisory
  
  链接：https://www.redhat.com/support/errata/RHSA-2003-255.html
*>

建议：

---

厂商补丁：

RedHat
------
RedHat已经为此发布了一个安全公告（RHSA-2003:255-01）以及相应补丁:
RHSA-2003:255-01：up2date improperly checks GPG signature of packages
链接：https://www.redhat.com/support/errata/RHSA-2003-255.html

补丁下载：

Red Hat Linux 8.0:

SRPMS:
ftp://updates.redhat.com/8.0/en/os/SRPMS/up2date-3.0.7.1-2.src.rpm

i386:
ftp://updates.redhat.com/8.0/en/os/i386/up2date-3.0.7.1-2.i386.rpm
ftp://updates.redhat.com/8.0/en/os/i386/up2date-gnome-3.0.7.1-2.i386.rpm

Red Hat Linux 9:

SRPMS:
ftp://updates.redhat.com/9/en/os/SRPMS/up2date-3.1.23.1-5.src.rpm

i386:
ftp://updates.redhat.com/9/en/os/i386/up2date-3.1.23.1-5.i386.rpm
ftp://updates.redhat.com/9/en/os/i386/up2date-gnome-3.1.23.1-5.i386.rpm

浏览次数：4646
严重程度：0（网友投票）