漏洞信息详情
lv处理配置文件权不当导致限提升漏洞
- CNNVD编号:CNNVD-200306-038
- 危害等级: 高危
- CVE编号: CVE-2003-0188
- 漏洞类型: 设计错误
- 发布时间: 2003-05-16
- 威胁类型: 本地
- 更新时间: 2005-10-20
- 厂 商: lv
- 漏洞来源: Leonard Stiles
漏洞简介
lv是一款强大的文件查看程序,类似less,可以通过编码系统如ISO-8859、ISO-2022、EUC、SJIS Big5、HZ和Unicode对多语言流进行编码和解码。 lv在读取配置文件时缺少正确检查,本地攻击者可以利用这个漏洞构建恶意配置文件,以其他用户权限执行任意命令。 lv可以从当前目录的配置文件中读取选项,并可以lv配置选项可以用于执行命令,本地攻击者可以使用这个文件放置到任意他们具有写权限的目录中,任何用户在那个包含恶意配置文件的目录中执行lv,并使用v(edit)命令时可以迫使执行任意命令(可能是root用户权限)。
漏洞公告
厂商补丁: Debian ------ http://www.debian.org/security/2003/dsa-304
参考网址
来源: REDHAT 名称: RHSA-2003:169 链接:http://www.redhat.com/support/errata/RHSA-2003-169.HTML 来源: DEBIAN 名称: DSA-304 链接:http://www.debian.org/security/2003/dsa-304 来源: TURBO 名称: TLSA-2003-35 链接:http://www.turbolinux.com/security/TLSA-2003-35.txt 来源: REDHAT 名称: RHSA-2003:167 链接:http://www.redhat.com/support/errata/RHSA-2003-167.HTML 来源: US Government Resource: oval:org.mitre.oval:def:430 名称: oval:org.mitre.oval:def:430 链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:430
受影响实体
- Lv Lv:4.49.1
补丁
暂无
评论