Lynx URI处理器任意命令执行漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1197353 漏洞类型
发布时间 2005-11-11 更新时间 2009-01-31
CVE编号 CVE-2008-4690 CNNVD-ID CNNVD-200810-391
漏洞平台 N/A CVSS评分 10.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200810-391
|漏洞详情
Lynx是一个基于文本的WWW浏览器。它不能够显示图像或Java句柄,所以执行速度非常快。很多厂商的Lynx实现中存在远程命令注入漏洞,恶意站点可能利用此漏洞在客户机上执行任意命令。Lynx允许通过"lynxcgi;"URI处理器执行本地cgi-bin程序。通常该处理器应仅限于特定的目录或程序。但是,由于多个平台的配置错误,默认设置允许任意站点指定将要运行的命令,这样就允许远程攻击者以运行Lynx用户的权限执行任意命令。
|参考资料

来源:FEDORA
名称:FEDORA-2008-9597
链接:https://www.redhat.com/archives/fedora-package-announce/2008-December/msg00143.html
来源:FEDORA
名称:FEDORA-2008-9550
链接:https://www.redhat.com/archives/fedora-package-announce/2008-December/msg00066.html
来源:XF
名称:lynx-lynxcgi-code-execution(46228)
链接:http://xforce.iss.net/xforce/xfdb/46228
来源:SECTRACK
名称:1021105
链接:http://www.securitytracker.com/id?1021105
来源:REDHAT
名称:RHSA-2008:0965
链接:http://www.redhat.com/support/errata/RHSA-2008-0965.html
来源:MLIST
名称:[oss-security]20081009lynxlynxcgihandlerflaw
链接:http://www.openwall.com/lists/oss-security/2008/10/09/2
来源:MANDRIVA
名称:MDVSA-2008:218
链接:http://www.mandriva.com/security/advisories?name=MDVSA-2008:218
来源:MANDRIVA
名称:MDVSA-2008:217
链接:http://www.mandriva.com/security/advisories?name=MDVSA-2008:217
来源:SECUNIA
名称:33568
链接:http://secunia.com/advisories/33568
来源:SECUNIA
名称:32967
链接:http://secunia.com/advisories/32967
来源:SECUNIA
名称:32416
链接:http://secunia.com/advisories/32416
来源:SUSE
名称:SUSE-SR:2009:002
链接:http