【绿盟科技授权,赛迪发布,谢绝任何网站转载,违者,赛迪网将保留追究其法律责任的权利!】
发布日期:2007-08-29
更新日期:2007-08-31
受影响系统:
Python Software Foundation Python 2.5
描述:
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2007-4559
Python是一种开放源代码的脚本编程语言。
Python的tarfile模块在处理恶意的tar文档时存在目录遍历漏洞,攻击者可能利用此漏洞在系统上创建任意文件。
tarfile模块在解压tar文档时没有正确地验证文件名,如果攻击者在特制的tar文档中使用了“../”目录遍历序列或符号链接的话,就可以将文件解压到指定目录之外的位置。例如,如果文件名为../../../../../etc/passwd,则管理员解压后就会覆盖/etc/passwd。
<*来源:Jan Matejek (jmatejek@suse.cz)
链接:http://secunia.com/advisories/26623/
http://mail.python.org/pipermail/python-dev/2007-August/074290.html
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Python Software Foundation
--------------------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://bugs.python.org/issue1044(责任编辑:李磊)
