Nautilus本地文件破坏漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1204540 漏洞类型 未知
发布时间 2002-03-27 更新时间 2005-05-02
CVE编号 CVE-2002-0157 CNNVD-ID CNNVD-200205-019
漏洞平台 N/A CVSS评分 4.6
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200205-019
|漏洞详情
Nautilus是一款用于GNOME桌面环境中的文件管理器。Nautilus在拷贝文件处理过程中存在问题,可导致本地攻击者使用符号链接破坏系统文件。当把文件从一个目录拷贝到另一个目录时,Nautilus会在目标目录中建立名为'.nautilus-metafile.xml'的XML文件,当写这个文件时,没有检查文件是否存在,攻击者如果在目标目录中具有可写权限,可以利用符号链接当Nautilus执行拷贝时破坏系统任意文件。
|参考资料

来源:BID
名称:4373
链接:http://www.securityfocus.com/bid/4373
来源:BUGTRAQ
名称:20020502R7-0003:NautilusSymlinkVulnerability
链接:http://online.securityfocus.com/archive/1/270691/2002-04-29/2002-05-05/0
来源:REDHAT
名称:RHSA-2002:064
链接:http://www.redhat.com/support/errata/RHSA-2002-064.html
来源:XF
名称:nautilus-metafile-xml-symlink(8995)
链接:http://www.iss.net/security_center/static/8995.php