XLoadImage压缩图像命令执行漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1200053 漏洞类型 输入验证
发布时间 2005-03-02 更新时间 2006-11-30
CVE编号 CVE-2005-0638 CNNVD-ID CNNVD-200503-042
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
https://www.securityfocus.com/bid/12712
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200503-042
|漏洞详情
远程攻击者可以借助xloadimage4.1-r2之前版本和xli1.17之前版本,通过压缩图像文件名中的shell元字符执行任意命令,而这些元字符在调用gunzip指令时没有正确引用。
|受影响的产品
xloadimage xloadimage 4.1 + Debian Linux 3.1 sparc + Debian Linux 3.1 s/390 + Debian Linux 3.1 ppc
|参考资料

来源:SECUNIA
名称:14459
链接:http://secunia.com/advisories/14459
来源:DEBIAN
名称:DSA-695
链接:http://www.debian.org/security/2005/dsa-695
来源:GENTOO
名称:GLSA-200503-05
链接:http://security.gentoo.org/glsa/glsa-200503-05.xml
来源:SECUNIA
名称:14462
链接:http://secunia.com/advisories/14462
来源:bugs.gentoo.org
链接:http://bugs.gentoo.org/show_bug.cgi?id=79762
来源:BID
名称:12712
链接:http://www.securityfocus.com/bid/12712
来源:FEDORA
名称:FLSA-2006:152923
链接:http://www.securityfocus.com/archive/1/archive/1/433935/30/5010/threaded
来源:REDHAT
名称:RHSA-2005:332
链接:http://www.redhat.com/support/errata/RHSA-2005-332.html
来源:OSVDB
名称:14365
链接:http://www.osvdb.org/14365
来源:support.avaya.com
链接:http://support.avaya.com/elmodocs2/security/ASA-2005-134_RHSA-2005-332.pdf