发布日期:2013-03-06
更新日期:2013-03-07受影响系统:
Apache Group Commons FileUpload 1.0 - 1.2.2
Apache Group Commons FileUpload
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 58326
CVE(CAN) ID: CVE-2013-0248
Apache Commons FileUpload软件包可以向小服务程序和Web应用添加高性能的文件上传功能。
Apache Commons FileUpload v1.0 - 1.2.2在上传文件过程中,会将上传的文件临时存在磁盘上,默认的位于系统的tmp目录内。因为临时文件具有可预测的文件名,并存储在可公开写入的位置,这就易于受到TOCTOU攻击。成功攻击需要攻击者对tmp目录具有写访问权限。将存储位置设在不能公开写入的位置,可以防止此攻击。
<*来源:Karl Dyszynski
链接:http://seclists.org/fulldisclosure/2013/Mar/76?utm_source=twitterfeed&utm_medium=twitter
*>建议:
--------------------------------------------------------------------------------
厂商补丁:
Apache Group
------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://commons.apache.org/proper/commons-fileupload//WordPress Events Manager插件多个脚本插入漏洞Squid errorpage.cc "strHdrAcptLangGetItem()"函数远程拒绝服务漏洞相关资讯 Apache安全漏洞
- Apache HTTP Server日志内终端转义 (05/14/2013 19:12:37)
- ApacheHTTP Server多个模块主机 (02/28/2013 08:31:21)
- Apache HTTP Server envvars本地权 (09/15/2012 08:25:17)
| - Debian Apache HTTP Server 符号链 (03/07/2013 19:10:01)
- Apache OFBiz不明细节安全漏洞(CVE (10/26/2012 08:09:44)
- Apache "mod_pagespeed"模块跨站脚 (09/15/2012 08:24:42)
|
本文评论 查看全部评论 (0)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管理
|
易网时代-编程资源站