发布日期：2007-08-29
更新日期：2007-08-31

受影响系统：

Python Software Foundation Python 2.5

描述：

---

CVE(CAN) ID: CVE-2007-4559

Python是一种开放源代码的脚本编程语言。

Python的tarfile模块在处理恶意的tar文档时存在目录遍历漏洞，攻击者可能利用此漏洞在系统上创建任意文件。

tarfile模块在解压tar文档时没有正确地验证文件名，如果攻击者在特制的tar文档中使用了“../”目录遍历序列或符号链接的话，就可以将文件解压到指定目录之外的位置。例如，如果文件名为../../../../../etc/passwd，则管理员解压后就会覆盖/etc/passwd。

<*来源：Jan Matejek （jmatejek@suse.cz）
  
  链接：http://secunia.com/advisories/26623/
        http://mail.python.org/pipermail/python-dev/2007-August/074290.html
*>

建议：

---

厂商补丁：

Python Software Foundation
--------------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://bugs.python.org/issue1044

浏览次数：2871
严重程度：0（网友投票）