漏洞信息详情

AllCommerce 符号链接漏洞

• CNNVD编号：CNNVD-200107-072
• 危害等级： 低危
  
• CVE编号： CVE-2001-1146
• 漏洞类型： 竞争条件
• 发布时间： 2001-07-11
• 威胁类型： 本地
• 更新时间： 2005-05-02
• 厂        商： lee_herron
• 漏洞来源：

漏洞简介

CVE(CAN) ID： CVE-2001-1146 AllCommerce是EnGarde Secure Linux附带的一款免费，开放源代码的电子商务软件。 其缺省为打开调试模式，但是在调试模式下，AllCommerce会在/tmp目录下创建不安全 的临时文件.由于没有检查目标文件是否存在，而且临时文件名是可以预知的，因此容易受 到符号链接攻击。 攻击者利用这个漏洞，可能造成文件破坏，数据丢失，拒绝服务，或者是提升权限，但 是攻击者必须在本地利用这个漏洞。

漏洞公告

请升级到最新版本 厂商补丁： Guardian Digital已经发布了升级版本来解决这个安全问题： Guardian Digital upgrade AllCommerce-1.0.4.1-1.0.25.noarch.rpm ftp://ftp.engardelinux.org/pub/engarde/stable/updates/

参考网址

来源: XF 名称: allcommerce-temp-symlink(6830) 链接:http://xforce.iss.net/static/6830.php 来源: ENGARDE 名称: ESA-20010711-01 链接:http://www.linuxsecurity.com/advisories/other_advisory-1492.HTML 来源: BID 名称: 3016 链接:http://www.securityfocus.com/bid/3016

受影响实体

• Lee_herron Allcommerce:1.2.3  

补丁

暂无