GNOME Eye Of Gnome文件名处理格式串漏洞发布时间:2003-04-10 更新时间:2003-04-10 严重程度:高 威胁程度:权限提升 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:7121 CVE(CAN) ID:CAN-2003-0165 受影响系统 GNOME eog 1.0 .0详细描述 GNOME Eye of Gnome (EOG)图像浏览器在处理文件名时存在一个格式化串漏洞,当时文件名中包含某些恶意的格式符时可能导致执行攻击者构造的指令,因为EOG可能被配置成默认某些邮件中图像对象,所以此漏洞可能被用来进行权限提升攻击。 测试代码 $ /usr/bin/eog this_is_an_invalid_file_%n%n 解决方案 厂商已经在新版的软件中修补了这个漏洞: ftp://ftp.gnome.org/pub/GNOME/sources/eog/2.2/ 相关信息 CORE-2003-0304-03: Vulnerability in GNOME's Eye of Gnome http://archives.neohapsis.com/archives/bugtraq/2003-03/0428.html |
