漏洞信息详情

Offis DCMTK 安全漏洞

• CNNVD编号：CNNVD-201406-174
• 危害等级： 高危
  
• CVE编号： CVE-2013-6825
• 漏洞类型： 权限许可和访问控制
• 发布时间： 2014-06-11
• 威胁类型： 本地
• 更新时间： 2014-06-11
• 厂        商： offis
• 漏洞来源：

漏洞简介

Offis DCMTK是德国Offis公司的一个实现了DICOM（医学数字成像和通信）协议的工具包，它包含了所有的源代码、支持库和帮助文档，无需编写和DICOM格式图像相关的各种程序模块。

Offis DCMTK 3.6.1及之前版本中的多个文件（包括：movescu.cc，storescp.cc，dcmnet/libsrc/scp.cc，dcmwlm/libsrc/wlmactmg.cc，dcmprscp.cc，dcmpsrcv.cc，dcmpstat/tests/msgserv.cc，dcmqrdb/apps/dcmqrscp.cc）中存在安全漏洞，该漏洞源于程序没有检查setuid系统调用的返回值。本地攻击者可利用该漏洞获取特权。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://hmarco.org/bugs/dcmtk-3.6.1-privilege-escalation.HTML

参考网址

来源:packetstormsecurity.com

链接:http://packetstormsecurity.com/files/126883/DCMTK-Privilege-Escalation.HTML

来源:BID

名称:67784

链接:http://www.securityfocus.com/bid/67784

来源:SECUNIA

名称:58916

链接:http://secunia.com/advisories/58916

来源:git.dcmtk.org

链接:http://git.dcmtk.org/web?p=dcmtk.git;a=blob;f=CHANGES.361

来源:BUGTRAQ

链接:http://www.securityfocus.com/archive/1/archive/1/532261/100/0/threaded

来源:FULLDISC

链接:http://seclists.org/fulldisclosure/2014/Jun/11

受影响实体

• Offis Dcmtk:3.6.0  
• Offis Dcmtk:3.5.4  
• Offis Dcmtk:3.5.3  
• Offis Dcmtk:3.5.2a  
• Offis Dcmtk:3.5.2  

补丁

• dcmtk-3.6.1-drop-privileges-fixed