klibc DHCP Options Processing 远程shell命令执行漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1120406 漏洞类型 代码注入
发布时间 2011-05-18 更新时间 2013-09-28
CVE编号 CVE-2011-1930 CNNVD-ID CNNVD-201310-156
漏洞平台 Linux CVSS评分 N/A
|漏洞来源
https://www.exploit-db.com/exploits/35785
https://www.securityfocus.com/bid/47924
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201310-156
|漏洞详情
klibc是瑞典软件开发者汉-彼得-艾文(HansPeterAnvin)所研发的一种C标准函式库。该库属于自由软件,主要应用于Linux开机流程中。klibc1.5.22之前的版本中存在shell命令执行漏洞,该漏洞源于程序没有正确过滤用户提交的输入。攻击者可利用该漏洞在使用受影响库的应用程序上下文中执行任意shell命令。
|漏洞EXP
source: http://www.securityfocus.com/bid/47924/info

klibc is prone to a shell-command-execution vulnerability because the application fails to properly sanitize user-supplied input.

An attacker can exploit this issue to execute arbitrary shell commands in the context of the application that uses the vulnerable library.

Versions prior to klibc 1.5.22 are vulnerable.

DNSDOMAIN="\\\"\$(echo owned; touch /tmp/owned)"
|受影响的产品
Pardus Linux 2009 0 Linux klibc 1.5.21 Linux klibc 1.5.20 Gentoo Linux
|参考资料

来源:BID
名称:47924
链接:http://www.securityfocus.com/bid/47924