发布日期：2008-04-08
更新日期：2008-04-11

受影响系统：

GNU m4 1.4.10

不受影响系统：

GNU m4 1.4.11

描述：

---

BUGTRAQ  ID: 28688
CVE(CAN) ID: CVE-2008-1687,CVE-2008-1688

GNU M4是广泛应用的GNU宏处理器。

GNU M4的src/freeze.c文件中的produce_frozen_state()函数存在格式串处理漏洞，如果向m4 -F传送了特制的文件名参数的话，就可能导致执行任意指令。

GNU M4在实现maketemp和mkstemp宏时存在漏洞，如果输出字符串中包含有特殊字符的话，就可能导致处理不正确的文件。

<*来源：Eric Blake （ebb9@byu.net）
  
  链接：http://secunia.com/advisories/29671/
        http://lists.gnu.org/archive/html/m4-announce/2008-04/msg00000.html
*>

建议：

---

厂商补丁：

GNU
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://git.sv.gnu.org/gitweb/?p=m4.git;a=commit;h=035998112737e52cb229e342913ef404e5a51040
http://git.sv.gnu.org/gitweb/?p=m4.git;a=commit;h=5345bb49077bfda9fabd048e563f9e7077fe335d

浏览次数：2660
严重程度：0（网友投票）