漏洞信息详情

eyeD3 for Python 后置链接漏洞

• CNNVD编号：CNNVD-201405-190
• 危害等级： 低危
  
• CVE编号： CVE-2014-1934
• 漏洞类型： 后置链接
• 发布时间： 2014-05-12
• 威胁类型： 本地
• 更新时间： 2014-05-12
• 厂        商： travis_shirk
• 漏洞来源：

漏洞简介

eyeD3（也称python-eyed3）是一个Python程序和模块，它提供了读写ID3标签的功能，同时可检测MP3文件的头信息，包括比特率、采样频率和播放时间等。

Python eyeD3 0.7.3版本和0.6.18及之前版本的tag.py文件中存在安全漏洞。本地攻击者可通过对临时文件实施符号链接攻击利用该漏洞修改天任意文件。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://eyed3.nicfit.net/changelog.HTML

参考网址

来源:SUSE

名称:openSUSE-SU-2014:0619

链接:http://lists.opensuse.org/opensuse-updates/2014-05/msg00027.HTML

来源:bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=1063671

来源:SUSE

名称:openSUSE-SU-2014:0620

链接:http://lists.opensuse.org/opensuse-updates/2014-05/msg00028.HTML

来源:bugs.debian.org

链接:https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=737062

受影响实体

• Travis_shirk Eyed3:0.7.3  
• Travis_shirk Eyed3:0.1.0  
• Travis_shirk Eyed3:0.2.0  
• Travis_shirk Eyed3:0.3.0  
• Travis_shirk Eyed3:0.3.1  

补丁

• python-eyeD3-0.7.3-3.4.1.src
• python-eyeD3-0.6.18-5.4.1.src