注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

c.pass 的博客

众里寻他千百度,蓦然回首,那人却在,灯火阑珊处。

 
 
 

日志

 
 

FreeBSD 'freebsd-update'工具不安全目录权限漏洞  

2010-04-25 16:37:34|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
影响版本:
FreeBSD 8.0-STABLE
FreeBSD 7.2-STABLE
FreeBSD 7.1-STABLE
FreeBSD 6.4 -STABLE
FreeBSD 6.3
漏洞描述:
Bugraq ID: 37190

FreeBSD是一款开放源代码的基于BSD的操作系统。
freebsd-update(8)工具用于下载,安装,升级。当通过'freebsd-update fetch'或
'freebsd-update upgrade'下载升级时,freebsd-update(8)工具会拷贝当前安装文件到工作目录(默认为/var/db/freebsd-update),用于配置文件的合并更改,并能够回滚安装的更新。
freebsd-update(8)使用的默认工作目录在FreeBSD安装阶段建立,允许本地用户查看其中内容,freebsd-update(8)没有对存在在此目录中的文件访问进行任何限制。
<*参考
http://www.securityfocus.com/archive/1/508179
*>
安全建议:
用户可参考如下供应商提供的补丁程序:
FreeBSD FreeBSD 6.4 -STABLE
FreeBSD freebsd-update.patch
http://security.FreeBSD.org/patches/SA-09:17/freebsd-update.patch
FreeBSD FreeBSD 8.0-STABLE
FreeBSD freebsd-update.patch
http://security.FreeBSD.org/patches/SA-09:17/freebsd-update.patch
FreeBSD FreeBSD 6.3
FreeBSD freebsd-update.patch
http://security.FreeBSD.org/patches/SA-09:17/freebsd-update.patch
FreeBSD FreeBSD 7.1-STABLE
FreeBSD freebsd-update.patch
http://security.FreeBSD.org/patches/SA-09:17/freebsd-update.patch
FreeBSD FreeBSD 7.2-STABLE
FreeBSD freebsd-update.patch
  评论这张
 
阅读(305)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017