阿里云漏洞库

中危 elfutils 0.161 read_long_names 路径遍历漏洞

CVE编号

CVE-2014-9447

利用情况

暂无

补丁情况

官方补丁

披露时间

2015-01-03

漏洞描述

Elfutils包含一系列用来建立、修改、分析二进制文件的工具。

elfutils '/libelf/elf_begin.c'存在目录遍历漏洞，因为它未能充分地过滤用户提供的输入。远程攻击者可以利用与目录遍历序列特制的请求（'../'）来检索应用程序下任意文件。

解决建议

用户可以联系供应商获得补丁信息：
https://fedorahosted.org/elfutils/

参考链接
http://advisories.mageia.org/MGASA-2015-0033.html
http://lists.fedoraproject.org/pipermail/package-announce/2015-January/148321.html
http://lists.fedoraproject.org/pipermail/package-announce/2015-January/148326.html
http://secunia.com/advisories/61934
http://secunia.com/advisories/62560
http://secunia.com/advisories/62661
http://www.mandriva.com/security/advisories?name=MDVSA-2015:047
http://www.openwall.com/lists/oss-security/2014/12/29/2
http://www.securityfocus.com/bid/71804
https://git.fedorahosted.org/cgit/elfutils.git/commit/?id=147018e729e7c22eeab...
https://lists.fedorahosted.org/pipermail/elfutils-devel/2014-December/004499.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	elfutils_project	elfutils	0.152	-
	运行在以下环境
	应用	elfutils_project	elfutils	0.161	-
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 0.159-4.1
	运行在以下环境
	系统	debian_10	elfutils	*		Up to (excluding) 0.159-4.1
	运行在以下环境
	系统	debian_11	elfutils	*		Up to (excluding) 0.159-4.1
	运行在以下环境
	系统	debian_12	elfutils	*		Up to (excluding) 0.159-4.1
	运行在以下环境
	系统	fedora_21	elfutils-libelf	*		Up to (excluding) 0.161-2.fc21
	运行在以下环境
	系统	redhat_6	elfutils	*		Up to (excluding) 0:0.161-3.el6
	运行在以下环境
	系统	redhat_7	elfutils	*		Up to (excluding) 0:0.163-3.el7
	运行在以下环境
	系统	suse_11_SP3	libebl1-32bit	*		Up to (excluding) 0.152-4.9.17
	运行在以下环境
	系统	suse_12	elfutils	*		Up to (excluding) 0.158-6.1
	运行在以下环境
	系统	ubuntu_12.04.5_lts	elfutils	*		Up to (excluding) 0.152-1ubuntu3.1
	运行在以下环境
	系统	ubuntu_14.04	elfutils	*		Up to (excluding) 0.158-0ubuntu5.2
	运行在以下环境
	系统	ubuntu_14.04.6_lts	elfutils	*		Up to (excluding) 0.158-0ubuntu5.2

攻击路径

远程
攻击复杂度

容易
权限要求

无需权限
影响范围

全局影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

传输被破坏
服务器危害

DoS
全网数量

N/A

CWE-ID	漏洞类型
CWE-22	对路径名的限制不恰当（路径遍历）