#23998 – CVE-2010-2253: lwp-download does not reject downloads to filenames that begin with a . (dot) character

Bug 23998 - CVE-2010-2253: lwp-download does not reject downloads to filenames that begin with a . (dot) character

Summary: CVE-2010-2253: lwp-download does not reject downloads to filenames that begin...

Status:	CLOSED FIXED

Alias:	None

Product:	Sisyphus
Classification:	Development
Component:	perl-libwww (show other bugs)
Version:	unstable
Hardware:	all Linux

Importance:	P3 blocker
Assignee:	viy
QA Contact:	qa-sisyphus

URL:	http://cve.mitre.org/cgi-bin/cvename....
Keywords:

Depends on:
Blocks:

Reported:	2010-09-01 06:41 MSD by Vladimir Lettiev
Modified:	2012-10-06 11:05 MSK (History)
CC List:	11 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Vladimir Lettiev 2010-09-01 06:41:40 MSD

Comment 1 Vladimir Lettiev 2010-09-01 07:16:43 MSD

lwp-download in libwww-perl before 5.835 does not reject downloads to filenames that begin with a . (dot) character, which allows remote servers to create or overwrite files via (1) a 3xx redirect to a URL with a crafted filename or (2) a Content-Disposition header that suggests a crafted filename, and possibly execute arbitrary code as a consequence of writing to a dotfile in a home directory.

lwp-download честно предупредит если файл уже существует, что несколько снижает опасность. Но некоторые файлы, например ~/.popt редко существуют у пользователя и воспользовавшись данной уязвимостью можно тихо создать такой файл, например такого вида:

rpm exec -q         ../../../../../bin/rm -f .bash_history --

Что приведёт к тому, что запуск rpm -q приведёт к удалению файла. Более того этот ~/.popt будет читаться и при выполнении sudo rpm, что может привести к более тяжёлым деструктивным последствиям.

Comment 2 Vladimir Lettiev 2012-10-06 11:05:31 MSK

исправлено