Debian Apache HTTP Server 符号链接攻击本地权限提升

发布日期:2013-03-04
更新日期:2013-03-07

受影响系统:
Debian Linux 6.0 x
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 58325
 CVE(CAN) ID: CVE-2013-1048
 
Apache HTTP Server是开源HTTP服务器。

Debian GNU/Linux上,Apache HTTP Server的apache2软件包squeeze 2.2.16-6+squeeze11之前版本, wheezy 2.2.22-13之前版本, sid 2.2.22-13之前版本内的Debian apache2ctl脚本,没有正确创建/var/lock/apache2 lock目录,可允许本地用户通过符号链接攻击获取权限。
 
<*来源:Hayawardh Vijayakumar
 
  链接:
 *>

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
Debian
 ------
 Debian已经为此发布了一个安全公告(dsa-2637)以及相应补丁:
 dsa-2637:DSA-2637-1 apache2 -- several issues
 链接:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wywwys.html