正文

libwww-perl 代码执行漏洞

admin
admin V管理员 /0 评论 /9 阅读
0414
此篇文章发布距今已超过1122天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2010-2253

利用情况

暂无

补丁情况

N/A

披露时间

2010-07-07
漏洞描述
Libwww 是一个高度模组化用户端的网页存取API ,用C语言写成,可在 Unix 和 Windows 上运行。 在libwww-perl 5.835之前的版本中的lwp-download不能拒绝以 .(点)字符开头文件名的下载,远程服务器可以借助(1)3xx重定向到含有伪造文件名的URL或者(2)类似伪造文件名一样的Content-Disposition头来创建或者覆盖文件,并且可能由于将此写入主目录dotfile中而执行任意代码。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
http://cpansearch.perl.org/src/GAAS/libwww-perl-5.836/Changes
http://lists.fedoraproject.org/pipermail/package-announce/2010-November/050232.html
http://lists.fedoraproject.org/pipermail/package-announce/2010-November/050245.html
http://marc.info/?l=oss-security&m=127411372529485&w=2
http://marc.info/?l=oss-security&m=127611288927500&w=2
http://www.ocert.org/advisories/ocert-2010-001.html
http://www.ubuntu.com/usn/USN-981-1
http://www.vupen.com/english/advisories/2010/2872
https://bugzilla.redhat.com/show_bug.cgi?id=591580
https://bugzilla.redhat.com/show_bug.cgi?id=602800
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 gisle_aas libwww-perl 0.01 -
运行在以下环境
应用 gisle_aas libwww-perl 0.02 -
运行在以下环境
应用 gisle_aas libwww-perl 0.03 -
运行在以下环境
应用 gisle_aas libwww-perl 0.04 -
运行在以下环境
应用 gisle_aas libwww-perl 5.00 -
运行在以下环境
应用 gisle_aas libwww-perl 5.01 -
运行在以下环境
应用 gisle_aas libwww-perl 5.02 -
运行在以下环境
应用 gisle_aas libwww-perl 5.03 -
运行在以下环境
应用 gisle_aas libwww-perl 5.04 -
运行在以下环境
应用 gisle_aas libwww-perl 5.05 -
运行在以下环境
应用 gisle_aas libwww-perl 5.06 -
运行在以下环境
应用 gisle_aas libwww-perl 5.07 -
运行在以下环境
应用 gisle_aas libwww-perl 5.08 -
运行在以下环境
应用 gisle_aas libwww-perl 5.09 -
运行在以下环境
应用 gisle_aas libwww-perl 5.10 -
运行在以下环境
应用 gisle_aas libwww-perl 5.11 -
运行在以下环境
应用 gisle_aas libwww-perl 5.12 -
运行在以下环境
应用 gisle_aas libwww-perl 5.13 -
运行在以下环境
应用 gisle_aas libwww-perl 5.14 -
运行在以下环境
应用 gisle_aas libwww-perl 5.15 -
运行在以下环境
应用 gisle_aas libwww-perl 5.16 -
运行在以下环境
应用 gisle_aas libwww-perl 5.17 -
运行在以下环境
应用 gisle_aas libwww-perl 5.18 -
运行在以下环境
应用 gisle_aas libwww-perl 5.18_03 -
运行在以下环境
应用 gisle_aas libwww-perl 5.18_04 -
运行在以下环境
应用 gisle_aas libwww-perl 5.18_05 -
运行在以下环境
应用 gisle_aas libwww-perl 5.19 -
运行在以下环境
应用 gisle_aas libwww-perl 5.20 -
运行在以下环境
应用 gisle_aas libwww-perl 5.21 -
运行在以下环境
应用 gisle_aas libwww-perl 5.22 -
运行在以下环境
应用 gisle_aas libwww-perl 5.30 -
运行在以下环境
应用 gisle_aas libwww-perl 5.31 -
运行在以下环境
应用 gisle_aas libwww-perl 5.32 -
运行在以下环境
应用 gisle_aas libwww-perl 5.33 -
运行在以下环境
应用 gisle_aas libwww-perl 5.34 -
运行在以下环境
应用 gisle_aas libwww-perl 5.35 -
运行在以下环境
应用 gisle_aas libwww-perl 5.36 -
运行在以下环境
应用 gisle_aas libwww-perl 5.41 -
运行在以下环境
应用 gisle_aas libwww-perl 5.42 -
运行在以下环境
应用 gisle_aas libwww-perl 5.43 -
运行在以下环境
应用 gisle_aas libwww-perl 5.44 -
运行在以下环境
应用 gisle_aas libwww-perl 5.45 -
运行在以下环境
应用 gisle_aas libwww-perl 5.46 -
运行在以下环境
应用 gisle_aas libwww-perl 5.47 -
运行在以下环境
应用 gisle_aas libwww-perl 5.48 -
运行在以下环境
应用 gisle_aas libwww-perl 5.49 -
运行在以下环境
应用 gisle_aas libwww-perl 5.50 -
运行在以下环境
应用 gisle_aas libwww-perl 5.51 -
运行在以下环境
应用 gisle_aas libwww-perl 5.52 -
运行在以下环境
应用 gisle_aas libwww-perl 5.53 -
运行在以下环境
应用 gisle_aas libwww-perl 5.53_90 -
运行在以下环境
应用 gisle_aas libwww-perl 5.53_91 -
运行在以下环境
应用 gisle_aas libwww-perl 5.53_92 -
运行在以下环境
应用 gisle_aas libwww-perl 5.53_93 -
运行在以下环境
应用 gisle_aas libwww-perl 5.53_94 -
运行在以下环境
应用 gisle_aas libwww-perl 5.53_95 -
运行在以下环境
应用 gisle_aas libwww-perl 5.53_96 -
运行在以下环境
应用 gisle_aas libwww-perl 5.53_97 -
运行在以下环境
应用 gisle_aas libwww-perl 5.60 -
运行在以下环境
应用 gisle_aas libwww-perl 5.61 -
运行在以下环境
应用 gisle_aas libwww-perl 5.62 -
运行在以下环境
应用 gisle_aas libwww-perl 5.63 -
运行在以下环境
应用 gisle_aas libwww-perl 5.64 -
运行在以下环境
应用 gisle_aas libwww-perl 5.65 -
运行在以下环境
应用 gisle_aas libwww-perl 5.66 -
运行在以下环境
应用 gisle_aas libwww-perl 5.67 -
运行在以下环境
应用 gisle_aas libwww-perl 5.68 -
运行在以下环境
应用 gisle_aas libwww-perl 5.69 -
运行在以下环境
应用 gisle_aas libwww-perl 5.70 -
运行在以下环境
应用 gisle_aas libwww-perl 5.71 -
运行在以下环境
应用 gisle_aas libwww-perl 5.72 -
运行在以下环境
应用 gisle_aas libwww-perl 5.73 -
运行在以下环境
应用 gisle_aas libwww-perl 5.74 -
运行在以下环境
应用 gisle_aas libwww-perl 5.75 -
运行在以下环境
应用 gisle_aas libwww-perl 5.76 -
运行在以下环境
应用 gisle_aas libwww-perl 5.77 -
运行在以下环境
应用 gisle_aas libwww-perl 5.78 -
运行在以下环境
应用 gisle_aas libwww-perl 5.79 -
运行在以下环境
应用 gisle_aas libwww-perl 5.800 -
运行在以下环境
应用 gisle_aas libwww-perl 5.801 -
运行在以下环境
应用 gisle_aas libwww-perl 5.802 -
运行在以下环境
应用 gisle_aas libwww-perl 5.803 -
运行在以下环境
应用 gisle_aas libwww-perl 5.804 -
运行在以下环境
应用 gisle_aas libwww-perl 5.805 -
运行在以下环境
应用 gisle_aas libwww-perl 5.806 -
运行在以下环境
应用 gisle_aas libwww-perl 5.807 -
运行在以下环境
应用 gisle_aas libwww-perl 5.808 -
运行在以下环境
应用 gisle_aas libwww-perl 5.810 -
运行在以下环境
应用 gisle_aas libwww-perl 5.811 -
运行在以下环境
应用 gisle_aas libwww-perl 5.812 -
运行在以下环境
应用 gisle_aas libwww-perl 5.813 -
运行在以下环境
应用 gisle_aas libwww-perl 5.814 -
运行在以下环境
应用 gisle_aas libwww-perl 5.815 -
运行在以下环境
应用 gisle_aas libwww-perl 5.816 -
运行在以下环境
应用 gisle_aas libwww-perl 5.817 -
运行在以下环境
应用 gisle_aas libwww-perl 5.818 -
运行在以下环境
应用 gisle_aas libwww-perl 5.819 -
运行在以下环境
应用 gisle_aas libwww-perl 5.820 -
运行在以下环境
应用 gisle_aas libwww-perl 5.821 -
运行在以下环境
应用 gisle_aas libwww-perl 5.822 -
运行在以下环境
应用 gisle_aas libwww-perl 5.823 -
运行在以下环境
应用 gisle_aas libwww-perl 5.824 -
运行在以下环境
应用 gisle_aas libwww-perl 5.825 -
运行在以下环境
应用 gisle_aas libwww-perl 5.826 -
运行在以下环境
应用 gisle_aas libwww-perl 5.827 -
运行在以下环境
应用 gisle_aas libwww-perl 5.828 -
运行在以下环境
应用 gisle_aas libwww-perl 5.829 -
运行在以下环境
应用 gisle_aas libwww-perl 5.830 -
运行在以下环境
应用 gisle_aas libwww-perl 5.831 -
运行在以下环境
应用 gisle_aas libwww-perl 5.832 -
运行在以下环境
应用 gisle_aas libwww-perl 5.833 -
运行在以下环境
应用 gisle_aas libwww-perl 5b10 -
运行在以下环境
应用 gisle_aas libwww-perl 5b11 -
运行在以下环境
应用 gisle_aas libwww-perl 5b12 -
运行在以下环境
应用 gisle_aas libwww-perl 5b13 -
运行在以下环境
应用 gisle_aas libwww-perl 5b5 -
运行在以下环境
应用 gisle_aas libwww-perl 5b6 -
运行在以下环境
应用 gisle_aas libwww-perl 5b7 -
运行在以下环境
应用 gisle_aas libwww-perl 5b8 -
运行在以下环境
应用 gisle_aas libwww-perl 5b9 -
运行在以下环境
应用 search.cpan libwww-perl * Up to
(including)
5.834
运行在以下环境
应用 search.cpan libwww-perl 5.40_01 -
运行在以下环境
系统 debian_5.0 libwww-perl * Up to
(excluding)
5.813-1+lenny2
阿里云评分 6.3
  • 攻击路径 远程
  • 攻击复杂度 复杂
  • 权限要求 无需权限
  • 影响范围 越权影响
  • EXP成熟度 N/A
  • 补丁情况 N/A
  • 数据保密性 数据泄露
  • 数据完整性 无影响
  • 服务器危害 服务器失陷
  • 全网数量 N/A
CWE-ID 漏洞类型 CWE-20 输入验证不恰当