发布日期：2007-08-22
更新日期：2007-08-23

受影响系统：

po4a po4a 0.31
po4a po4a 0.30

不受影响系统：

po4a po4a 0.32

描述：

---

BUGTRAQ  ID: 25402
CVE(CAN) ID: CVE-2007-4462

po4a是Debian平台下使用的文档翻译工具。

po4a在创建临时文件时存在漏洞，本地攻击者可能利用此漏洞提升自己的权限。

po4a的lib/Locale/Po4a/Po.pm文件中的gettextize()函数以不安全的方式创建/tmp/gettextization.failed.po文件，这允许本地攻击者通过符号链接进行攻击，以运行po4a-gettextize工具用户的权限覆盖任意文件。

<*来源：po4a
  
  链接：http://secunia.com/advisories/26492/
        http://alioth.debian.org/frs/shownotes.php?release_id=1019
*>

建议：

---

厂商补丁：

po4a
----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://alioth.debian.org/frs/download.php/2108/po4a-0.32.tar.gz

浏览次数：2233
严重程度：0（网友投票）