发布日期：2004-01-29
更新日期：2004-02-06

受影响系统：

GNU libtool 1.5.1

不受影响系统：

GNU libtool 1.5.2

描述：

---

BUGTRAQ  ID: 9530
CVE(CAN) ID: CVE-2004-0256

GNU libtool是一个通用库支持脚本,将使用动态库的复杂性隐藏在统一、可移植的接口中。

GNU libtool不安全建立临时目录，本地攻击者可以利用这个漏洞以调用脚本用户权限破坏任意文件。

当工具用libtool编译时会不安全的建立临时目录，攻击者可以通过建立符号链接，以调用脚本用户权限破坏任意文件。目前没有详细漏洞细节提供。

<*来源：Stefan Nordhausen
  
  链接：http://www.securityfocus.com/archive/1/352333
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在"ltmain.in"或者"libtool"中，需要使用如下行：

if $mkdir "$tmpdir" && chmod 700 "$tmpdir"; then :

替代：

if $mkdir -p "$tmpdir" && chmod 700 "$tmpdir"; then :

厂商补丁：

GNU
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载使用libtool 1.5.2版本：

http://www.gnu.org/software/libtool/libtool.html

浏览次数：2667
严重程度：0（网友投票）