微点交流论坛

标题: Subversion客户端转换目录的漏洞 [打印本页]

作者: pioneer 时间: 2007-8-30 13:48 标题: Subversion客户端转换目录的漏洞

来源

secunia.com

软件名

Subversion 1.x

描述

这可被恶意用来危害用户的系统检查或更新时Subversion客户端没有正确过滤文件名导致在客户端系统的工作目录之外通过建立文件名中包含目录转换次序的恶意目录和欺骗用户进入检查和更新库的形式来创建恶意库或恶意文件（需要授予权限）成功执行需要在系统上运行客户端，将"\" 作为库分隔符(例如Windows).
在version 1.4.4之前的版本上已经报告过

解决方案

升级到V1.4.5

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn