Verlihub 创建不安全的文件以及远程代码执行漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2008-12-30
Verlihub 创建不安全的文件以及远程代码执行漏洞 受影响系统:
Verlihub Project Verlihub <= 0.9.8d-RC2

描述:
Verlihub是运行在Linux操作系统上的Direct Connect协议服务器。

Verlihub没有正确地过滤通过trigger机制传送给shell的用户输入,此外Verlihub守护程序还可能配置为以root用户权限运行,这就允许连接到hub的用户通过提交恶意请求执行任意命令,或允许本地安全者通过对/tmp/trigger.tmp临时文件的符号链接安全覆盖任意文件。

厂商补丁:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.verlihub-project.org