漏洞信息详情
Lynx URI处理器任意命令执行漏洞
- CNNVD编号:CNNVD-200511-246
- 危害等级: 高危
- CVE编号: CVE-2005-2929
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2005-11-18
- 威胁类型: 远程
- 更新时间: 2006-06-12
- 厂 商: university_of_kansas
- 漏洞来源: Vade79 v9@fakehal...
漏洞简介
Lynx是一个基于文本的WWW浏览器。它不能够显示图像或Java句柄,所以执行速度非常快。
很多厂商的Lynx实现中存在远程命令注入漏洞,恶意站点可能利用此漏洞在客户机上执行任意命令。Lynx允许通过\"lynxcgi:\" URI处理器执行本地cgi-bin程序。通常该处理器应仅限于特定的目录或程序。但是,由于多个平台的配置错误,默认设置允许任意站点指定将要运行的命令,这样就允许远程攻击者以运行Lynx用户的权限执行任意命令。
漏洞公告
RedHat已经为此发布了一个安全公告(RHSA-2005:839-01)以及相应补丁:
http://www.auscert.org.au/render.HTML?it=5735
http://security.gentoo.org/glsa/glsa-200511-09.xml
参考网址
来源: IDEFENSE
名称: 20051110 Multiple Vendor Lynx Command Injection Vulnerability
链接:http://www.idefense.com/application/poi/display?id=338&type=vulnerabilities
来源: XF
名称: lynx-lynxcgi-command-execute(23119)
链接:http://xforce.iss.net/xforce/xfdb/23119
来源: BID
名称: 15395
链接:http://www.securityfocus.com/bid/15395
来源: FEDORA
名称: FLSA:152832
链接:http://www.securityfocus.com/archive/1/archive/1/419763/100/0/threaded
来源: REDHAT
名称: RHSA-2005:839
链接:http://www.redhat.com/support/errata/RHSA-2005-839.HTML
来源: OPENPKG
名称: OpenPKG-SA-2005.026
链接:http://www.openpkg.org/security/OpenPKG-SA-2005.026-lynx.HTML
来源: GENTOO
名称: GLSA-200511-09
链接:http://www.gentoo.org/security/en/glsa/glsa-200511-09.xml
来源: VUPEN
名称: ADV-2005-2394
链接:http://www.frsirt.com/english/advisories/2005/2394
来源: support.avaya.com
链接:http://support.avaya.com/elmodocs2/security/ASA-2006-035.htm
来源: SECTRACK
名称: 1015195
链接:http://securitytracker.com/id?1015195
来源: SECUNIA
名称: 18659
链接:http://secunia.com/advisories/18659
来源: SECUNIA
名称: 18376
链接:http://secunia.com/advisories/18376
来源: SECUNIA
名称: 18051
链接:http://secunia.com/advisories/18051
来源: SECUNIA
名称: 17757
链接:http://secunia.com/advisories/17757
来源: SECUNIA
名称: 17666
链接:http://secunia.com/advisories/17666
来源: SECUNIA
名称: 17576
链接:http://secunia.com/advisories/17576
来源: SECUNIA
名称: 17556
链接:http://secunia.com/advisories/17556
来源: SECUNIA
名称: 17546
链接:http://secunia.com/advisories/17546
来源: SECUNIA
名称: 17512
链接:http://secunia.com/advisories/17512
来源: SECUNIA
名称: 17372
链接:http://secunia.com/advisories/17372
来源: MANDRIVA
名称: MDKSA-2005:211
链接:http://frontal2.mandriva.com/security/advisories?name=MDKSA-2005:211
来源: SCO
名称: SCOSA-2005.55
链接:ftp://ftp.sco.com/pub/updates/UnixWare/SCOSA-2005.55/SCOSA-2005.55.txt
来源: SCO
名称: SCOSA-2006.7
链接:ftp://ftp.sco.com/pub/updates/OpenServer/SCOSA-2006.7/SCOSA-2006.7.txt
来源: MANDRIVA
名称: MDKSA-2005:211
链接:http://www.mandriva.com/security/advisories?name=MDKSA-2005:211
来源: SREASON
名称: 173
链接:http://securityreason.com/securityalert/173
受影响实体
- University_of_kansas Lynx:2.8.6_dev13
- University_of_kansas Lynx:2.8.6
- University_of_kansas Lynx:2.8.5
补丁
暂无
评论