漏洞信息详情
SuSE YaST2 Backup 本地文件名任意外壳指令注入漏洞
- CNNVD编号:CNNVD-200811-428 <!--
- 危害等级: 高危-->
- 危害等级: 高危
- CVE编号: CVE-2008-4636
- 漏洞类型: 输入验证
- 发布时间: 2008-11-27
- 威胁类型: 本地
- 更新时间: 2008-12-03
- 厂 商: novell
- 漏洞来源: SUSE
-
漏洞简介
YaST2备份模块是一种简单易用的本地备份程序。 SUSE Linux 和 Novell Linux上的yast2-backup 2.14.2版本 至 2.16.6版本允许本地用户借助被文件备份程序是用的文件名的外壳元字符来获得特权。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接: S.u.S.E. openSUSE 10.3 S.u.S.E. yast2-backup-2.15.7-0.1.noarch.rpm ftp://download.opensuse.org/pub/opensuse/update/10.3/rpm/noarch/yast2-backup-2.15.7-0.1.noarch.rpm S.u.S.E. openSUSE 10.2 S.u.S.E. yast2-backup-2.14.2-0.1.noarch.rpm ftp://ftp.suse.com/pub/suse/update/10.2/rpm/noarch/yast2-backup-2.14.2-0.1.noarch.rpm S.u.S.E. openSUSE 11.0 S.u.S.E. yast2-backup-2.16.6-0.1.noarch.rpm http://download.opensuse.org/pub/opensuse/update/11.0/rpm/noarch/yast2-backup-2.16.6-0.1.noarch.rpm
参考网址
来源: BID 名称: 32464 链接:http://www.securityfocus.com/bid/32464 来源: SECUNIA 名称: 32832 ; Patch Information 链接:http://secunia.com/advisories/32832 来源: SUSE 名称: SUSE-SA:2008:054 链接:http://lists.opensuse.org/opensuse-security-announce/2008-11/msg00003.html 来源: XF 名称: yast2backup-backup-command-execution(46879) 链接:http://xforce.iss.net/xforce/xfdb/46879 来源: OSVDB 名称: 50284 链接:http://osvdb.org/50284
受影响实体
- Novell Suse_linux:10:Server<!--2000-1-1-->
- Novell Suse_linux:10:Desktop<!--2000-1-1-->
- Novell Suse_linux:9:Server<!--2000-1-1-->
- Novell Suse_linux_enterprise_server:9<!--2000-1-1-->
- Novell Suse_linux:9.3:Pro<!--2000-1-1-->
补丁
暂无
还没有评论,来说两句吧...