微点交流论坛

标题: Python tarfile 模块遍历目录和Symlink漏洞 [打印本页]

作者: pioneer 时间: 2007-8-31 16:44 标题: Python tarfile 模块遍历目录和Symlink漏洞

来源

secunia.com

软件名

Python 2.5.x

描述

这可被恶意用来危害有漏洞的系统解压tar文件时特定的输入错误，可导致tarfile 模块经特别授权目录之外的应用程序在使用"//.." 目录遍历次序或恶意Symlink的特定tar文件时提取文件到任意位置

解决方案

不要解压不可信的tar文件

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn