首页 / 操作系统 / Linux / Red Hat Enterprise Linux logrotate任意执行命令及信息泄露漏洞
发布日期:2011-01-01 更新日期:2011-04-01受影响系统: RedHat Red Hat Enterprise Linux Desktop 6 RedHat Red Hat Enterprise Linux HPC Node 6 RedHat Red Hat Enterprise Linux Server 6 RedHat Red Hat Enterprise Linux Workstation 6 描述: -------------------------------------------------------------------------------- CVE ID: CVE-2011-1155,CVE-2011-1154,CVE-2011-1098logrotate程序可简化多个日志文件的管理,允许日志文件的自动循环、压缩、删除和邮寄。logrotate处理shred指令时存在shell命令注入漏洞,特制日志文件可造成logrotate以运行logrotate(默认root)的用户权限执行任意命令。注意:默认没有启用shred指令。logrotate在创建新日志文件时应用权限的方式中存在竞争条件漏洞,在一些特定配置中,本地攻击者可利用此漏洞在logrotate应用最终权限之前打开新的日志文件,可导致泄露敏感信息。logrotate中存在输入验证漏洞。带有特制文件名称的日志文件可在试图再次处理该文件时造成logrotate中断。<*链接:https://www.redhat.com/support/errata/-RHSA-20110407.html http://www.linuxidc.com/Linux/2011-04/34007.htm *>建议: -------------------------------------------------------------------------------- 厂商补丁:RedHat ------ RedHat已经为此发布了一个安全公告(RHSA-20110407-01)以及相应补丁:RHSA-20110407-01:Moderate: logrotate security update链接:https://www.redhat.com/support/errata/-RHSA-20110407.htmlRed Hat Enterprise Linux quagga远程拒绝服务漏洞IBM WEBi跨站脚本执行漏洞相关资讯 redhat
为什么像 RedHat 那样的开源旗手很 (12/23/2014 07:50:53)
红帽目录服务RHDS(Red Hat (11/28/2012 19:14:22)
RedHat 6 配置网卡team (09/28/2012 18:52:50)
RedHat Linux 用户登录认证失败 (06/24/2014 19:56:55)
Red Hat Enterprise Linux 5.8日志 (09/29/2012 11:41:27)
Red Hat Enterprise Linux 5--- (09/12/2012 17:10:35)
易网时代-编程资源站