Cygwin csomag kezelési biztonsági rés

CH azonosító

CH-1458

Felfedezés dátuma

2008.08.07.

Súlyosság

Alacsony

Érintett rendszerek

Cygwin
Red Hat

Érintett verziók

Red Hat Cygwin 1.x, 4.x

Összefoglaló

A Cygwin biztonsági rését jelentették, melyet rosszindulatú támadók a sérülékeny rendszer feltörésére használhatnak.

Leírás

A Cygwin biztonsági rését jelentették, melyet rosszindulatú támadók a sérülékeny rendszer feltörésére használhatnak.

A sebezhetőség oka, hogy a setup.exe a HTTP vagy FTP protokollon keresztül letöltött csomag listákat és csomagokat nem ellenőrzi megfelelően telepítés előtt. Ez kihasználható rosszindulatú csomagok telepítésére az érintett rendszeren, amikor a felhasználó csomagokat frissít vagy telepít.

A sikeres kiaknázáshoz pl. egy DNS hamisításos támadás szükséges vagy, hogy a felhasználót rávegyék egy rosszindulatú tükör használatára.

A sérülékenységet a 2.573.2.3 előtti verziók setup.exe állományában jelentették.

Megoldás

Frissítsen a legújabb verzióra