GNU Libtool libltdl库搜索路径本地权限提升漏洞
来源:岁月联盟
时间:2009-12-03
GNU libtool 2.2.6
GNU libtool 1.5.x漏洞描述:
BUGTRAQ ID: 37128
CVE ID: CVE-2009-3736
GNU libtool是一个通用库支持脚本,将使用动态库的复杂性隐藏在统一、可移植的接口中。
GNU Libtool的libltdl库中的ltdl.c文件将当前工作目录用作了库的搜索路径,如果安全者创建了恶意的共享对象或.la文件并诱骗用户使用同一目录中的libtool库执行应用程序,就会导致执行任意代码。<*参考
http://secunia.com/advisories/37414
https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=537941
*>
测试方法:
[www.sebug.net]
本站提供程序(方法)可能带有安全性,仅供安全研究与教学之用,风险自负!https://bugzilla.redhat.com/attachment.cgi?id=372311SEBUG安全建议:
厂商补丁:
GNU
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://lists.gnu.org/archive/html/libtool/2009-11/msg00059.html