| 网管联盟 | 网管论坛 | 网管u家 | 网管博客 | 网管软件 | 网管求职 | 小游戏 | 网管搜索 | 网管原创 | 网管聚合 | 网管读摘 | 网管焦点 | 世界素材 | 会员投稿 | 会员中心 |
|
| Windows Linux Cisco 网络技术 数据库 黑客攻防 DotNet Java PHP 认证 新闻资讯 服务器 存储资讯 网络设备 网管学堂 技术专题 焦点 网吧频道 |
涉及程序:
Xfce Terminal
描述:
Xfce-Terminal远程命令注入漏洞
详细:
Xfce Terminal是Xfce桌面环境的控制台工具。
Xfce Terminal在使用URL串构造命令调用时存在漏洞,远程攻击者可能利用此漏洞诱使用户执行恶意Shell命令。
Xfce Terminal的terminal/terminal.c文件中的terminal_helper_execute()函数使用/bin/sh -c生成浏览器进程,但没有正确的转义URL,如果用户受骗使用Open Link功能打开了恶意链接的话,就可能导致泄露敏感信息或执行Shell命令。
网管u家u.bitscn@com
<*来源:Lasse Kärkkäinen
链接:http://secunia.com/advisories/26037
http://bugs.gentoo.org/show_bug.cgi?format=multiple&id=184886
http://bugzilla.xfce.org/show_bug.cgi?format=multiple&id=3383
*>
网管联盟bitsCN_com
受影响系统:
Xfce Xfce-Terminal 0.2.6
攻击方法:
警 告
网管下载dl.bitscn.com
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负! 网管网www_bitscn_com
http://foo.bar/$(xterm)/
http://google.com/search?q=$(ls)&sourceid=b0rk
http://google.com/search?q=$HOME
解决方案:
厂商补丁: 网管网www_bitscn_com
Xfce
----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: 网管网www.bitscn.com
http://www.xfce.org/
网管下载dl.bitscn.com
|
0
|
评论加载中…
