Debian Apache HTTP Server 符号链接攻击本地权限提升(CVE-2013-
发布日期:2013-03-04
更新日期:2013-03-07
受影响系统:
Debian Linux 6.0 x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 58325
CVE(CAN) ID: CVE-2013-1048
Apache HTTP Server是开源HTTP服务器。
Debian GNU/Linux上,Apache HTTP Server的apache2软件包squeeze 2.2.16-6+squeeze11之前版本, wheezy 2.2.22-13之前版本, sid 2.2.22-13之前版本内的Debian apache2ctl脚本,没有正确创建/var/lock/apache2 lock目录,可允许本地用户通过符号链接攻击获取权限。
<*来源:Hayawardh Vijayakumar
链接:http://www.debian.org/security/2013/dsa-263
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Debian
------
Debian已经为此发布了一个安全公告(dsa-2637)以及相应补丁:
dsa-2637:DSA-2637-1 apache2 -- several issues
链接:http://www.debian.org/security/2013/dsa-263