发布日期：2004-04-06
更新日期：2004-04-12

受影响系统：

Gentoo Linux 1.4_rc3
Gentoo Linux 1.4_rc2
Gentoo Linux 1.4_rc1
Gentoo Linux 1.4

描述：

---

BUGTRAQ  ID: 10060
CVE(CAN) ID: CVE-2004-1901

Gentoo Linux是一款安全加强的Linux系统。Portage是Gentoo包管理系统负责安装，编译升级等工作。

Gentoo portage不安全建立临时文件，本地攻击者可以利用这个漏洞破坏系统文件，造成拒绝服务。

由于portage建立的lockfile在可写的目录下建立，及文件名可预测，攻击者可以在"/tmp"目录下建立多个符号硬连接，文件名以猜测进程PID为基础，这些符号连接指向本地系统文件，当运行portage时，连接的文件可被覆盖，导致拒绝服务，有可能导致权限提升。

<*来源：Gentoo Linux Security Advisory
  
  链接：http://www.securityfocus.com/advisories/6521
*>

建议：

---

厂商补丁：

Gentoo
------
Gentoo用户可执行如下命令升级：

# emerge sync
# emerge -pv ">=sys-apps/portage-2.0.50-r3"
# emerge ">=sys-apps/portage-2.0.50-r3"

浏览次数：3016
严重程度：0（网友投票）