微点交流论坛

标题: Xdg-utils注入命令的漏洞 [打印本页]

作者: pioneer 时间: 2008-2-10 16:20 标题: Xdg-utils注入命令的漏洞

来源

secunia.com

软件名

Xdg-utils 1.x

描述

这可恶意危害用户系统
由于"xgd-open"和"xdg-email"脚本在sed调用前没有被准确过滤参数，这可在恶意url被传递到受影响的脚本时注入和执行shell命令

执行成功需要脚本不在KDE, Gnome, 或XFCE会话中使用

该漏洞在V1.0.2中已经报告，其它版本也可能受到影响

解决方案

在CVX库中已经修复
http://webcvs.freedesktop.org/po ... r1=1.36&r2=1.37
http://webcvs.freedesktop.org/po ... r1=1.32&r2=1.33

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn