漏洞信息详情
bzip2解压文件盲目覆盖现有文件漏洞
- CNNVD编号:CNNVD-200208-239
- 危害等级: 低危
- CVE编号: CVE-2002-0759
- 漏洞类型: 未知
- 发布时间: 2002-05-20
- 威胁类型: 远程
- 更新时间: 2005-05-02
- 厂 商: bzip
- 漏洞来源: FreeBSD Security A...
漏洞简介
bzip2是英国软件开发者Julian Seward所研发的一套用于类Unix操作系统中的开源文件压缩和解压工具。 bzip2解压文件时处理不安全,可导致本地系统文件破坏。 当在解压的时候,bzip2工具没有正确的检查文件是否存在,可导致文件在解压的时候没有任何警告的情况下被覆盖,导致本地系统文件破坏。
漏洞公告
厂商补丁: FreeBSD ------- FreeBSD已经为此发布了一个安全公告(FreeBSD-SA-02:25)以及相应补丁:
FreeBSD-SA-02:25:bzip2 contains multiple security vulnerabilities
链接:ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:25.bzip2.asc
补丁下载:
FreeBSD 4.4 or 4.5 base system]
1) 将受影响的系统升级到修正日期(2002-01-07)后发布的4.5-RELEASE 、4.5-STABLE、 RELENG_4_5、RELENG_4_4、RELENG_4_3。
2) 请从下列地址下载补丁和分离的PGP签名,并用你的PGP工具核实签名。
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-02:25/bzip2.patch
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-02:25/bzip2.patch.asc
以root身份执行下列命令:
# cd /usr/src
# patch -p <>
# cd lib/libbz2
# make depend && make all install
# cd ../../usr.bin/bzip2
# make depend && make all install
对于ports安装方式
1) 升级整个ports系统重新编译bzip2。
2) 卸载老的包,安装新的包,从如下的地址获得:
[i386]
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/archivers/
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/archivers/
3) 为port下载一个新的port框架:
http://www.freebsd.org/ports/
4) 用portcheckout工具使步骤(3)自己化,此工具在/usr/ports/devel/portcheckout目录或从如下地址下载:
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/Latest/portcheckout.tgz
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/Latest/portcheckout.tgz
参考网址
来源: BID 名称: 4774 链接:http://www.securityfocus.com/bid/4774 来源: XF 名称: bzip2-decompression-file-overwrite(9126) 链接:http://www.iss.net/security_center/static/9126.php 来源: FREEBSD 名称: FreeBSD-SA-02:25 链接:ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:25.bzip2.asc 来源: CALDERA 名称: CSSA-2002-039.0 链接:ftp://ftp.caldera.com/pub/security/OpenLinux/CSSA-2002-039.0.txt
受影响实体
- Bzip Bzip2:1.0.1
- Bzip Bzip2:1.0
- Bzip Bzip2:0.9.5d
- Bzip Bzip2:0.9.5c
- Bzip Bzip2:0.9.5b
补丁
暂无
评论