Android SQLite Journal信息泄露漏洞(CVE

发布日期:2012-05-03
更新日期:2012-05-08

受影响系统:
Open Handset Alliance Open Handset Alliance Android 2.3.7
不受影响系统:
Open Handset Alliance Open Handset Alliance Android 4.0.1
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 53380
CVE ID: CVE-2011-3901

Android是Google通过Open Handset Alliance发起的项目,用于为移动设备提供完整的软件集,包括操作系统、中间件等。

Open Handset Alliance在实现上存在信息泄露漏洞,攻击者可利用此漏洞获取SQLite数据库日志文件敏感信息。

1)应用的数据目录对于所有用户具有执行权限,包括root用户。

2)/data/data/<app package>/databases目录具有[rwxrwx--x]权限。

3)在具有[-rw-r--r--]权限的数据库目录下创建日志文件。

<*来源:Roee Hay
 
  链接:
       
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

Open Handset Alliance
---------------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wwzfgj.html