bzip2解压文件盲目覆盖现有文件漏洞

发布日期：2002-05-20
更新日期：2002-05-24

受影响系统：

bzip2 bzip2 1.0.1
bzip2 bzip2 1.0
bzip2 bzip2 0.9.5d
bzip2 bzip2 0.9.5c
bzip2 bzip2 0.9.5b
bzip2 bzip2 0.9.5a
bzip2 bzip2 0.9.0c
bzip2 bzip2 0.9.0b
bzip2 bzip2 0.9.0a
bzip2 bzip2 0.9.0

不受影响系统：

bzip2 bzip2 1.0.2

描述：

---

BUGTRAQ ID: 4774
CVE(CAN) ID: CVE-2002-0759

bzip2是一款开放源代码的文件压缩/解压工具，可使用在多种Linux和Unix操作系统下。

bzip2解压文件时处理不安全，可导致本地系统文件破坏。

当在解压的时候，bzip2工具没有正确的检查文件是否存在，可导致文件在解压的时候没有任何警告的情况下被覆盖，导致本地系统文件破坏。

<*来源：FreeBSD Security Advisories （security-advisories@freebsd.org）

链接：ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:25.bzip2.asc
*>

建议：

---

厂商补丁：

FreeBSD
-------
FreeBSD已经为此发布了一个安全公告（FreeBSD-SA-02:25）以及相应补丁:
FreeBSD-SA-02:25：bzip2 contains multiple security vulnerabilities
链接：ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:25.bzip2.asc

补丁下载：

FreeBSD 4.4 or 4.5 base system]

1) 将受影响的系统升级到修正日期（2002-01-07）后发布的4.5-RELEASE 、4.5-STABLE、 RELENG_4_5、RELENG_4_4、RELENG_4_3。

2) 请从下列地址下载补丁和分离的PGP签名，并用你的PGP工具核实签名。

# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-02:25/bzip2.patch
# fetch ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-02:25/bzip2.patch.asc

以root身份执行下列命令：

# cd /usr/src
# patch -p < /path/to/patch
# cd lib/libbz2
# make depend && make all install
# cd ../../usr.bin/bzip2
# make depend && make all install


对于ports安装方式

1) 升级整个ports系统重新编译bzip2。

2) 卸载老的包，安装新的包，从如下的地址获得：

[i386]
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/archivers/
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/archivers/

3) 为port下载一个新的port框架：

http://www.freebsd.org/ports/

4) 用portcheckout工具使步骤(3)自己化，此工具在/usr/ports/devel/portcheckout目录或从如下地址下载：

ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/Latest/portcheckout.tgz
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/Latest/portcheckout.tgz

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有