漏洞信息详情
Yum ‘installUpdates’函数安全漏洞
- CNNVD编号:CNNVD-201401-544
- 危害等级: 中危
- CVE编号: CVE-2014-0022
- 漏洞类型: 输入验证
- 发布时间: 2014-01-28
- 威胁类型: 远程
- 更新时间: 2014-01-28
- 厂 商: baseurl
- 漏洞来源:
漏洞简介
Yum(全称Yellow dog Updater,Modified)是美国杜克大学(Duke University)团队开发的一款基于RPM包管理的Shell字符前端软件包管理器,它支持从指定的服务器自动下载RPM包并且安装,以及处理依赖性关系。
Yum 3.4.3及之前的版本中的yum-cron/yum-cron.py文件中的‘installUpdates’函数中存在安全漏洞,该漏洞源于程序没有检查‘sigCheckPkg’函数的返回值。远程攻击者可借助未签名的数据包利用该漏洞绕过RMP数据包签名限制。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://yum.baseurl.org/gitweb?p=yum.git;a=commitdiff;h=9df69e5794
参考网址
来源: bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=1057377
来源: bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=1052440
来源: yum.baseurl.org
链接:http://yum.baseurl.org/gitweb?p=yum.git;a=commitdiff;h=9df69e5794
来源: BID
名称: 65119
链接:http://www.securityfocus.com/bid/65119
来源: SECUNIA
名称: 56637
链接:http://secunia.com/advisories/56637
受影响实体
- Baseurl Yum:3.4.3
- Baseurl Yum:3.4.2
- Baseurl Yum:3.4.1
- Baseurl Yum:3.4.0
补丁
- yum-cron_yum-cron
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论