Aladdin Ghostscript任意分享库使用漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1206055 漏洞类型 设计错误
发布时间 2000-11-22 更新时间 2007-07-06
CVE编号 CVE-2000-1163 CNNVD-ID CNNVD-200101-057
漏洞平台 N/A CVSS评分 4.6
|漏洞来源
https://www.securityfocus.com/bid/1991
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200101-057
|漏洞详情
ghostscript5.10-16之前的版本使用空的LD_RUN_PATH环境变量查找当前目录中的库,本地用户通过在目录中放置Trojan木马库从而执行任意命令。该目录来自于另一个执行ghostscript的用户。
|受影响的产品
Aladdin Enterprises Ghostscript 5.50 + HP Secure OS software for Linux 1.0 + Redhat Linux 7.1 ia64 + Redhat Linux 7
|参考资料

来源:BID
名称:1991
链接:http://www.securityfocus.com/bid/1991
来源:DEBIAN
名称:20001123ghostscript:symlinkattack
链接:http://www.debian.org/security/2000/20001123
来源:XF
名称:ghostscript-env-variable
链接:http://xforce.iss.net/static/5564.php
来源:MANDRAKE
名称:MDKSA-2000:074
链接:http://www.linux-mandrake.com/en/security/MDKSA-2000-074.php3
来源:CALDERA
名称:CSSA-2000-041
链接:http://www.calderasystems.com/support/security/advisories/CSSA-2000-041.0.txt
来源:CONECTIVA
名称:CLSA-2000:343
链接:http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000343