发布日期：2003-12-12
更新日期：2003-12-24

受影响系统：

Botan Botan 1.3.6
Botan Botan 1.3.5
Botan Botan 1.3.4
Botan Botan 1.3.3
Botan Botan 1.3.2
Botan Botan 1.3.1
Botan Botan 1.3

不受影响系统：

Botan Botan 1.3.7

描述：

---

BUGTRAQ  ID: 9242

Botan是一款加密算法和格式C++库实现。

Botan在Unix系统上的es_unix模块不支持/dev/random，本地攻击者可以利用这个漏洞进行权限提升攻击。

Botan在UNIX系统上的es_unix模块由于不支持/dve/random可导致一个权限提升的问题。问题的缘由是外部程序被调用时没有验证文件的路径，在部分条件下，可调用恶意文件而造成权限提升。

<*来源：Botan
  
  链接：http://botan.randombit.net/logs/log-13.php
*>

建议：

---

厂商补丁：

Botan
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Botan Upgrade Botan 1.3.7
http://botan.randombit.net/download.php

浏览次数：2570
严重程度：0（网友投票）