漏洞信息详情
PackageKit Zypper 权限许可和访问控制漏洞
- CNNVD编号:CNNVD-201404-353
- 危害等级: 低危
- CVE编号: CVE-2013-1764
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2014-04-22
- 威胁类型: 本地
- 更新时间: 2014-04-22
- 厂 商: packagekit_project
- 漏洞来源:
漏洞简介
PackageKit是一个适用于Linux系统的新的包管理器。
PackageKit 0.8.7及之前版本的Zypper (又名zypp)后台中存在安全漏洞。本地攻击者可通过‘install updates’方法利用该漏洞使程序包降级。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.packagekit.org/
参考网址
来源:SUSE
名称:openSUSE-SU-2013:0889
链接:http://lists.opensuse.org/opensuse-updates/2013-06/msg00026.HTML
来源:gitorious.org
链接:https://gitorious.org/packagekit/packagekit/source/NEWS
来源:bugzilla.novell.com
链接:https://bugzilla.novell.com/show_bug.cgi?id=804983
来源:bugs.freedesktop.org
链接:https://bugs.freedesktop.org/show_bug.cgi?id=61231
来源:MLIST
名称:[oss-security] 20130225 Re: CVE Request: PackageKit"update" allows downgrade of packages when using the "zypp" backend
链接:http://www.openwall.com/lists/oss-security/2013/02/25/20
来源:gitorious.org
链接:https://gitorious.org/packagekit/packagekit/commit/d3d14631042237bcfe6fb30a60e59bb6d94af425
受影响实体
- Packagekit_project Packagekit:0.8.1
- Packagekit_project Packagekit:0.8.2
- Packagekit_project Packagekit:0.8.3
- Packagekit_project Packagekit:0.8.4
- Packagekit_project Packagekit:0.8.5
补丁
- PackageKit-0.8.8
评论