Freebsd中xsane不正当处理临时文件漏洞发布时间:2001-12-18 更新时间:2001-12-18 严重程度:高 威胁程度:本地管理员权限 错误类型:竞争条件 利用方式:服务器模式 受影响系统 xsane详细描述 XSane应用程序是基于X11前端的使用SANE库的扫描程序,可接收如扫描器或者照相机的图象。 XSane在处理扫描图象和与SANE库通信过程中会在/tmp目录下建立临时文件。不过XSane使用mktemp(3)建立临时文件,而这个调用就很容易猜测文件名,这样就可以导致XSane产生符号连接攻击。 xsane默认情况下没有安装。 测试代码 尚无 解决方案 安装新的程序: [i386] ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/graphics/xsane-0.82.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/graphics/xsane-0.82.tgz [alpha] 尚无。 相关信息 参考:http://www.securityfocus.com/advisories/3734 |
