受影响系统:
GNU findutils < 4.2.31

不受影响系统:
GNU findutils 4.2.31

描述:
GNU findutils是一套用于搜索Unix类系统上文档的程式。

findutils在处理数据库时存在漏洞,远程攻击者可能利用此漏洞控制用户机器。

findutils支持三种不同格式的locate数据库,分别为原始格式LOCATE02、LOCATE02的slocate变种和传统格式。当locate从默认格式的LOCATE02数据库读取文档名时,会自动扩展读入数据的缓冲区以适合文档名的长度,但传统格式的数据库没有执行这种自动缓冲区扩展,而是使用了1026字节的缓冲区。假如locate数据库存在超长的路径名,就会溢出堆上所分配的缓冲区,导致执行任意指令。

厂商补丁:
GNU
现在厂商已发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
ftp://ftp.gnu.org/gnu/findutils/findutils-4.2.31.tar.gz