漏洞信息详情

Gajim ‘src/common/latex.py’ 任意文件重写漏洞

• CNNVD编号：CNNVD-201204-296
• 危害等级： 低危
  
• CVE编号： CVE-2012-2093
• 漏洞类型： 后置链接
• 发布时间： 2012-04-18
• 威胁类型： 本地
• 更新时间： 2012-05-21
• 厂        商： gajim
• 漏洞来源：

漏洞简介

Gajim 0.15版本中的src/common/latex.py中存在漏洞。本地用户可利用该漏洞借助在临时latex文件中的符号链接攻击重写任意文件，该漏洞与get_tmpfile_name函数相关。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://gajim.org/

参考网址

来源: trac.gajim.org

链接:https://trac.gajim.org/changeset/13759/src/common/latex.py

来源: XF

名称: gajim-gettmpfilename-symlink(74869)

链接:http://xforce.iss.net/xforce/xfdb/74869

来源: MLIST

名称: [oss-security] 20120410 gajim insecure file creation when using latex

链接:http://www.openwall.com/lists/oss-security/2012/04/10/6

来源: MLIST

名称: [oss-security] 20120410 RE: gajim insecure file creation when using latex

链接:http://www.openwall.com/lists/oss-security/2012/04/10/15

来源: SECUNIA

名称: 48695

链接:http://secunia.com/advisories/48695

来源: FEDORA

名称: FEDORA-2012-6061

链接:http://lists.fedoraproject.org/pipermail/package-announce/2012-April/079241.HTML

来源: FEDORA

名称: FEDORA-2012-6001

链接:http://lists.fedoraproject.org/pipermail/package-announce/2012-April/079237.HTML

来源: FEDORA

名称: FEDORA-2012-6161

链接:http://lists.fedoraproject.org/pipermail/package-announce/2012-April/079169.HTML

来源: hg.gajim.org

链接:http://hg.gajim.org/gajim/rev/f046e4aaf7d4

来源:SECUNIA

名称:48794

链接:http://secunia.com/advisories/48794

受影响实体

• Gajim Gajim:0.15  

补丁

• more secure tmp file creation for latex