漏洞信息详情

Nalin_Dahyabhai VTE ‘vteseq.c’未明漏洞

• CNNVD编号：CNNVD-201008-045
• 危害等级： 高危
  
• CVE编号： CVE-2010-2713
• 漏洞类型： 其他
• 发布时间： 2010-08-12
• 威胁类型： 远程
• 更新时间： 2010-08-12
• 厂        商： nalin_dahyabhai
• 漏洞来源：

漏洞简介

在gnome-terminal中使用的VTE 0.25.1和之前的版本的libvte(又名libvte9)中的vteseq.c中的vte_sequence_handler_window_manipulation函数存在漏洞。不能正确处理转义序列，远程攻击者可以借助(1)window标题或(2)icon标题序列执行任意命令或获取潜在敏感信息。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.securityfocus.com/bid/41716/solution

参考网址

来源: git.gnome.org

链接:http://git.gnome.org/browse/vte/commit/?id=8b971a7b2c59902914ecbbc3915c45dd21530a91

来源: bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=613110

来源: VUPEN

名称: ADV-2010-1839

链接:http://www.vupen.com/english/advisories/2010/1839

来源: UBUNTU

名称: USN-962-1

链接:http://www.ubuntu.com/usn/usn-962-1

来源: BID

名称: 41716

链接:http://www.securityfocus.com/bid/41716

来源: SECUNIA

名称: 40635

链接:http://secunia.com/advisories/40635

受影响实体

• Nalin_dahyabhai Vte:0.15.0  
• Nalin_dahyabhai Vte:0.11.21  
• Nalin_dahyabhai Vte:0.12.2  
• Nalin_dahyabhai Vte:0.16.14  
• Nalin_dahyabhai Vte:0.14.2  

补丁

• 94_refix_dangerous_esc
• python-vte_0.20.0-0ubuntu2.1_i386
• python-vte_0.20.0-0ubuntu2.1_lpia
• libvte9-udeb_0.22.2-0ubuntu2.1_i386
• libvte9_0.23.5-0ubuntu1.1_amd64