po4a gettextization.failed.po以不安全的方式创建临时文件漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1189354 漏洞类型 竞争条件
发布时间 2007-08-22 更新时间 2007-09-13
CVE编号 CVE-2007-4462 CNNVD-ID CNNVD-200708-362
漏洞平台 N/A CVSS评分 3.3
|漏洞来源
https://www.securityfocus.com/bid/25402
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200708-362
|漏洞详情
po4a是Debian平台下使用的文档翻译工具。po4a在创建临时文件时存在漏洞,本地攻击者可能利用此漏洞提升自己的权限。po4a的lib/Locale/Po4a/Po.pm文件中的gettextize()函数以不安全的方式创建/tmp/gettextization.failed.po文件,这允许本地攻击者通过符号链接进行攻击,以运行po4a-gettextize工具用户的权限覆盖任意文件。
|受影响的产品
po4a po4a 0.31 po4a po4a 0.30 Gentoo Linux
|参考资料

来源:bugzilla.redhat.com
链接:https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=253541
来源:bugs.gentoo.org
链接:http://bugs.gentoo.org/show_bug.cgi?id=189440
来源:BID
名称:25402
链接:http://www.securityfocus.com/bid/25402
来源:GENTOO
名称:GLSA-200709-04
链接:http://security.gentoo.org/glsa/glsa-200709-04.xml
来源:SECUNIA
名称:26810
链接:http://secunia.com/advisories/26810
来源:SECUNIA
名称:26492
链接:http://secunia.com/advisories/26492
来源:alioth.debian.org
链接:http://alioth.debian.org/frs/shownotes.php?release_id=1019