OpenVPN LD_PRELOAD环境变量传输漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2006-04-11
OpenVPN LD_PRELOAD环境变量传输漏洞    受影响系统: 

  OpenVPN OpenVPN 2.0 - 2.0.5 

  不受影响系统: 

  OpenVPN OpenVPN 2.0.6 

  描述: 

  BUGTRAQ ID: 17392 

  CVE(CAN) ID: CVE-2006-1629 

  OpenVPN是一个基于OpenSSL库的应用层VPN实现。 

  OpenVPN客户端允许服务器通过“setenv”配置指令向客户端shell传送包括LD_PRELOAD在内的环境变量。安全者可以在已知位置放置恶意文件并加载该文件来执行任意代码。 

  <*来源:Hendrik Weimer 

  链接:http://www.osreviews.net/reviews/security/openvpn.print 

   http://secunia.com/advisories/19531/print/ 

  *> 

  建议: 

  厂商补丁: 

  OpenVPN 

  目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: 

  http://openvpn.net/download.html#stable