漏洞信息详情

GNU glibc Locale Environment Handling 目录遍历漏洞

• CNNVD编号：CNNVD-201407-580
• 危害等级： 低危
  
• CVE编号： CVE-2014-0475
• 漏洞类型： 路径遍历
• 发布时间： 2014-07-29
• 威胁类型： 远程
• 更新时间： 2014-07-30
• 厂        商： gnu
• 漏洞来源： Stephane Chazelas

漏洞简介

GNU C Library（又名glibc，libc6）是一种按照LGPL许可协议发布的开源免费的C语言编译程序。

GNU C Library 2.20之前版本中存在目录遍历漏洞，该漏洞源于程序未充分过滤某些本地环境变量（如LC_*，LANG等）。上下文相关的攻击者可通过环境变量中的目录遍历字符‘..’绕过ForceCommand限制或造成其他影响。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，详情请关注厂商主页：

http://www.gnu.org/software/libc/

参考网址

来源:MLIST

链接:http://www.openwall.com/lists/oss-security/2014/07/10/7

来源:SECTRACK

链接:http://www.securitytracker.com/id/1030569

来源:MLIST

链接:http://www.openwall.com/lists/oss-security/2014/07/14/6

来源:sourceware.org

链接:https://sourceware.org/bugzilla/show_bug.cgi?id=17137

来源:DEBIAN

链接:http://www.debian.org/security/2014/dsa-2976

来源: BID

链接:http://www.securityfocus.com/bid/68505

受影响实体

• Gnu Glibc:2.0.6  
• Gnu Glibc:2.0.5  
• Gnu Glibc:2.0.4  
• Gnu Glibc:2.0.3  
• Gnu Glibc:2.0.2  

补丁

暂无