Linux平台CouchDB不安全LD_LIBRARY_PATH环境变量漏洞

发布日期：2010-08-25
更新日期：2010-09-02受影响系统：
Apache Group CouchDB
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 42758CouchDB是用Erlang开发的面向文档的数据库系统。Debian和Ubuntu平台上的/usr/bin/couchdb脚本设置了不安全的LD_LIBRARY_PATH环境变量，导致加载了当前目录的函数库。如果本地攻击者在目录中放置了恶意的共享库，且管理员受骗从该目录启动了CouchDB，就会导致执行任意代码。仅在明确执行/usr/bin/couchdb脚本的情况下才可以触发这个漏洞，因为init脚本（/etc/init.d/couchdb）在启动CouchDB之前会更改当前目录。<*来源：Dan Rosenberg

链接：http://seclists.org/oss-sec/2010/q3/230
*>建议：
--------------------------------------------------------------------------------
厂商补丁：Apache Group
------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：http://httpd.apache.org/Linux Kernel keyctl_session_to_parent（）函数空指针引用漏洞Quagga bgpd空指针引用拒绝服务漏洞相关资讯 Linux漏洞

敲击28次退格键之后：Linux漏洞可（12/18/2015 11:22:28）
Linux出现重大漏洞 GHOST ？（01/30/2015 18:35:07）
Linux 2.6.31本地代码执行漏洞（（07/07/2014 07:51:17）

Red Hat Linux 修补“libuser”库（07/26/2015 06:39:34）
红帽反驳：“Grinch（鬼精灵）”算（12/30/2014 07:38:23）
Linux gcc++漏洞：普通用户获得（08/16/2013 11:57:41）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容