漏洞信息详情
Lynx URI处理器任意命令执行漏洞
- CNNVD编号:CNNVD-200810-391
- 危害等级: 中危
- CVE编号: CVE-2008-4690
- 漏洞类型: 资料不足
- 发布时间: 2005-11-11
- 威胁类型: 远程
- 更新时间: 2009-01-31
- 厂 商: lynx
- 漏洞来源: Vade79※ v9@fakehal...
漏洞简介
Lynx是一个基于文本的WWW浏览器。它不能够显示图像或Java句柄,所以执行速度非常快。
很多厂商的Lynx实现中存在远程命令注入漏洞,恶意站点可能利用此漏洞在客户机上执行任意命令。
Lynx允许通过\"lynxcgi;\" URI处理器执行本地cgi-bin程序。通常该处理器应仅限于特定的目录或程序。但是,由于多个平台的配置错误,默认设置允许任意站点指定将要运行的命令,这样就允许远程攻击者以运行Lynx用户的权限执行任意命令。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://lynx.isc.org/current/lynx2.8.6dev.15.tar.Z
http://lynx.isc.org/current/lynx2.8.6dev.15.tar.bz2
http://lynx.isc.org/current/lynx2.8.6dev.15.tar.gz
http://lynx.isc.org/current/lynx2.8.6dev.15.zip
http://lynx.isc.org/current/2.8.6dev.15.patch.gz
http://security.gentoo.org/glsa/glsa-200511-09.xml
参考网址
来源: FEDORA
名称: FEDORA-2008-9597
链接:https://www.redhat.com/archives/fedora-package-announce/2008-December/msg00143.HTML
来源: FEDORA
名称: FEDORA-2008-9550
链接:https://www.redhat.com/archives/fedora-package-announce/2008-December/msg00066.HTML
来源: XF
名称: lynx-lynxcgi-code-execution(46228)
链接:http://xforce.iss.net/xforce/xfdb/46228
来源: SECTRACK
名称: 1021105
链接:http://www.securitytracker.com/id?1021105
来源: REDHAT
名称: RHSA-2008:0965
链接:http://www.redhat.com/support/errata/RHSA-2008-0965.HTML
来源: MLIST
名称: [oss-security] 20081009 lynx lynxcgi handler flaw
链接:http://www.openwall.com/lists/oss-security/2008/10/09/2
来源: MANDRIVA
名称: MDVSA-2008:218
链接:http://www.mandriva.com/security/advisories?name=MDVSA-2008:218
来源: MANDRIVA
名称: MDVSA-2008:217
链接:http://www.mandriva.com/security/advisories?name=MDVSA-2008:217
来源: SECUNIA
名称: 33568
链接:http://secunia.com/advisories/33568
来源: SECUNIA
名称: 32967
链接:http://secunia.com/advisories/32967
来源: SECUNIA
名称: 32416
链接:http://secunia.com/advisories/32416
来源: SUSE
名称: SUSE-SR:2009:002
链接:http://lists.opensuse.org/opensuse-security-announce/2009-01/msg00004.HTML
受影响实体
- Lynx Lynx:2.8.5:Dev.4
- Lynx Lynx:2.8.5:Dev.5
- Lynx Lynx:2.8.5:Dev.6
- Lynx Lynx:2.8.5:Dev.7
- Lynx Lynx:2.8.5:Dev.8
补丁
暂无
评论