open_envvar()函数中的参数注入漏洞

CVE编号

CVE-2017-18266

利用情况

暂无

补丁情况

官方补丁

披露时间

2018-05-11

漏洞描述

在xdg-open in xdg-utils中，在1.1.3之前的open_envvar函数在启动浏览器环境变量指定的程序之前不验证字符串，这可能允许远程攻击者通过精心编制的url进行参数注入攻击，正如该环境变量中的%s所示。&nbsp;<br /> &nbsp;

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://cgit.freedesktop.org/xdg/xdg-utils/tree/ChangeLog

参考链接
https://bugs.freedesktop.org/show_bug.cgi?id=103807
https://cgit.freedesktop.org/xdg/xdg-utils/commit/?id=5647afb35e4bcba2060148e...
https://cgit.freedesktop.org/xdg/xdg-utils/commit/?id=ce802d71c3466d1dbb24f2f...
https://cgit.freedesktop.org/xdg/xdg-utils/tree/ChangeLog
https://lists.debian.org/debian-lts-announce/2018/05/msg00014.html
https://usn.ubuntu.com/3650-1/
https://www.debian.org/security/2018/dsa-4211

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	freedesktop	xdg-utils	*		Up to (excluding) 1.1.3
	运行在以下环境
	系统	debian_7	xdg-utils	*		Up to (excluding) 1.1.0~rc1+git20111210-6+deb7u4
	运行在以下环境
	系统	debian_8	xdg-utils	*		Up to (excluding) 1.1.0~rc1+git20111210-7.4+deb8u1
	运行在以下环境
	系统	debian_9	xdg-utils	*		Up to (excluding) 1.1.1-1+deb9u1
	运行在以下环境
	系统	fedora_26	xdg-utils	*		Up to (excluding) 1.1.3-1.fc26
	运行在以下环境
	系统	fedora_27	xdg-utils	*		Up to (excluding) 1.1.3-1.fc27
	运行在以下环境
	系统	fedora_28	xdg-utils	*		Up to (excluding) 1.1.3-1.fc28
	运行在以下环境
	系统	opensuse_Leap_15.0	xdg-utils	*		Up to (excluding) 20170508-lp150.3.3.2
	运行在以下环境
	系统	suse_12_SP3	xdg-utils	*		Up to (excluding) 20140630-6.3.1
	运行在以下环境
	系统	ubuntu_16.04	xdg-utils	*		Up to (excluding) 1.1.1-1ubuntu1.16.04.3
	运行在以下环境
	系统	ubuntu_18.04	xdg-utils	*		Up to (excluding) 1.1.2-1ubuntu2.2
查看完整数据

阿里云评分 3.1

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID 漏洞类型 CWE-74 输出中的特殊元素转义处理不恰当（注入）