Mandriva Linux 安全公告:cpio (MDVSA-2015:066)
low Nessus 插件 ID 82319
语言:
简介
远程 Mandriva Linux 主机缺少安全更新。描述
更新后的 cpio 程序包修复了安全漏洞:在 GNU Cpio 2.11 中,--no-absolute-filenames 选项会将存档内容的提取严格限制在当前目录中。
但是,可通过 symlink 来绕过此限制。提取归档文件时,如果在更多条目中引用 symlink,则此漏洞将对其进行提取并跟踪。流氓存档可利用此问题在当前目录以外写入文件 (CVE-2015-1197)。
解决方案
更新受影响的 cpio 程序包。另见
插件详情
严重性: Low
ID: 82319
文件名: mandriva_MDVSA-2015-066.nasl
版本: 1.5
类型: local
发布时间: 2015/3/30
最近更新时间: 2021/1/6
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 6.0
CVSS v2
风险因素: Low
基本分数: 1.9
时间分数: 1.4
矢量: CVSS2#AV:L/AC:M/Au:N/C:N/I:P/A:N
漏洞信息
CPE: p-cpe:/a:mandriva:linux:cpio, cpe:/o:mandriva:business_server:1
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2015/3/27
参考资料信息
CVE: CVE-2015-1197
BID: 71914
MDVSA: 2015:066