Gentoo Linux ssl-cert.eclass 函数信息泄露漏洞
来源:绿盟科技 时间:2008-03-24 09:03:42
受影响系统:
Gentoo Linux
描述:
Gentoo Linux是一套通用的、快捷的、完全免费的Linux版本,面向开发人员和专业网络人员。
Gentoo Linux的ssl-cert.eclass实现上存在漏洞,本地攻击者可能利用此漏洞非授权获取信息。
在ssl-cert.eclass中,docert函数用于生成SSL密钥和SSL证书。如果在src_compile或src_install中使用了docert函数,SSL密钥就会包含在不受保护的binpkg中,任何可以访问系统的用户都可以解压tarball恢复密钥。如果要利用这个漏洞,攻击者必须能够访问使用--buildpkg或--buildpkgonly选项编译的二进制软件包。
厂商补丁:
Gentoo已经为此发布了一个安全公告(GLSA-200803-30)以及相应补丁:
GLSA-200803-30:ssl-cert eclass: Certificate disclosure
链接:http://security.gentoo.org/glsa/glsa-200803-30.xml
相关文章
- Linux Kiss Server lks.c文件多个格式串处理漏洞
- Linux Kernel vmsplice_to_pipe本地权限提升漏洞
- Linux Kernel PowerPC chrp/setup.c指针引用漏洞
- Xen copy_to_user() 函数有本地绕过安全限制漏洞
- Linux Kernel 内核hrtimers存在本地拒绝服务漏洞