squashfs-tools 后置链接漏洞

CNNVD编号CNNVD-202109-941

CVE编号 CVE-2021-41072	CNVD编号 --
CICSVD编号 --
危害级别	漏洞类型后置链接
厂商 --	威胁类型远程
发布时间 2021-09-14	更新时间 2021-10-22
CVSS 2.0 AV:N/AC:M/Au:N/C:N/I:P/A:P
CVSS 3.X CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H
漏洞来源 --

漏洞简介

squashfs-tools是一个开源软件包。 Squashfs-Tools 4.5 中 unsquash-2.c 中的 squashfs_opendir存在安全漏洞，该漏洞源于一个经过精心设计的squashfs文件系统包含一个符号链接，然后文件系统中相同文件名下的内容会导致unsquashfs首先创建指向预期目录之外的符号链接，然后随后的写操作将导致unsquashfs进程写入通过文件系统中其他地方的符号链接。

漏洞公告

暂无

受影响实体

序号	受影响实体
1	CPE:/a:squashfs-tools_project:squashfs-tools:4.5:::

补丁

squashfs-tools 安全漏洞的修复措施

前往查看

参考网址

序号	链接	原站
1	https://github.com/plougher/squashfs-tools/commit/e0485802ec72996c20026da320650d8362f555bd	MISC
2	https://lists.debian.org/debian-lts-announce/2021/10/msg00017.html	MLIST
3	https://www.debian.org/security/2021/dsa-4987	DEBIAN
4	https://github.com/plougher/squashfs-tools/issues/72#issuecomment-913833405	MISC
5	https://www.auscert.org.au/bulletins/ESB-2021.3120	www.auscert.org.au

检索漏洞