Sun Java安装文件破坏漏洞

21次阅读
没有评论

Sun Java安装文件破坏漏洞

漏洞ID 1202373 漏洞类型 设计错误
发布时间 2003-10-31 更新时间 2005-10-20
Sun Java安装文件破坏漏洞CVE编号 CVE-2003-1156
Sun Java安装文件破坏漏洞CNNVD-ID CNNVD-200312-237
漏洞平台 N/A CVSS评分 4.6
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200312-237
|漏洞详情
SunJava2SDK是一款Java实现平台。SunJava实现在安装过程中建立不安全临时文件,本地攻击者可以利用这个漏洞通过符号连接,对系统进行拒绝服务等攻击。当在Linux上安装Java的时会有不安全临时外呢件建立。当下载Linux的.bin或rpm.bin安装程序后,允许.bin和接收许可或安装rpm时,Sun会调用自己的unpack程序进行解包,程序存储在/usr/java/j2re/lib/unpack,在安装之后会删除,每次Unpack调用会建立临时文件/tmp/unpack.log,因此通过简单的符号链接可以覆盖系统中的重要文件,可能导致系统崩溃。另外postinstall脚本也不安全的建立/tmp/.mailcap1和/tmp/.mime.types1临时文件,同样存在符号连接攻击问题。
|参考资料

来源:XF
名称:sun-jre-java-symlink(13570)
链接:http://xforce.iss.net/xforce/xfdb/13570
来源:BID
名称:8937
链接:http://www.securityfocus.com/bid/8937
来源:BUGTRAQ
名称:20031031Advisory:Sun’sjre/jdk1.4.2multiplevulernabilitiesinlinuxinstallers
链接:http://www.securityfocus.com/archive/1/343038
来源:NSFOCUS
名称:5616
链接:http://www.nsfocus.net/vulndb/5616

相关推荐: VBulletin Multiple Moderator And Administrator SQL Injection Vulnerabilities

VBulletin Multiple Moderator And Administrator SQL Injection Vulnerabilities 漏洞ID 1095977 漏洞类型 Input Validation Error 发布时间 2005-09…

正文完
 0