漏洞信息详情

File Roller 多个目录遍历漏洞

• CNNVD编号：CNNVD-201307-125
• 危害等级： 中危
  
• CVE编号： CVE-2013-4668
• 漏洞类型： 路径遍历
• 发布时间： 2013-07-17
• 威胁类型： 远程
• 更新时间： 2021-04-27
• 厂        商： paolo_bacchilega
• 漏洞来源： Yorick Koster

漏洞简介

File Roller是Paolo Bacchilega程序员开发的一套基于GNOME桌面环境下的归档管理器软件。该软件提供归档文件的创建、修改、查看以及解压缩等功能。

File Roller 3.6.4之前的3.6.x版本，3.8.3之前的3.8.x版本，3.9.3之前的3.9.x版本中存在目录遍历漏洞，该漏洞源于程序没有充分过滤路径。当使用libarchive时，远程攻击者可通过在‘Keep directory structure’操作中不正确处理的归档文件（如fr-archive-libarchive.c和fr-window.c）利用该漏洞创建任意文件。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.ocert.org/advisories/ocert-2013-001.HTML

参考网址

来源:SECUNIA

链接:http://secunia.com/advisories/54351

来源:BID

链接:https://www.securityfocus.com/bid/61008

来源:CONFIRM

链接:https://git.gnome.org/browse/file-roller/commit/?id=b147281293a8307808475e102a14857055f81631

来源:SUSE

链接:http://lists.opensuse.org/opensuse-updates/2013-07/msg00095.HTML

来源:UBUNTU

链接:http://www.ubuntu.com/usn/USN-1906-1

来源:BUGTRAQ

链接:http://archives.neohapsis.com/archives/bugtraq/2013-07/0039.HTML

来源:MISC

链接:http://www.ocert.org/advisories/ocert-2013-001.HTML

受影响实体

• Paolo_bacchilega File_roller:3.6.2  
• Paolo_bacchilega File_roller:3.6.1.1  
• Paolo_bacchilega File_roller:3.6.1  
• Paolo_bacchilega File_roller:3.6.0  
• Paolo_bacchilega File_roller:3.8.1  

补丁

• File Roller 多个目录遍历漏洞的修复措施