发布日期：2008-07-25
更新日期：2008-07-28

受影响系统：

Cygwin Cygwin setup.exe 2.573.2.2

描述：

---

BUGTRAQ  ID: 30375
CVE(CAN) ID: CVE-2008-3323

Cygwin是许多自由软件的集合，用于在各种版本的Microsoft Windows上运行UNIX类系统。

Cygwin的Tarball软件包是通过setup.exe安装和升级的，该程序通过明文HTTP或FTP从镜像下载软件包列表和软件包，软件包列表中包含有用于验证完整性的MD5校验和。如果恶意的服务器响应了负责升级软件包的HTTP请求并返回修改的MD5字符串的话，setup.exe就会下载并安装恶意软件包。

<*来源：Derek Callaway
  
  链接：http://marc.info/?l=bugtraq&m=121701231107631&w=2
        http://secunia.com/advisories/31271/
        http://cygwin.com/ml/cygwin-announce/2008-08/msg00001.html
*>

建议：

---

厂商补丁：

Cygwin
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://cygwin.com/setup/snapshots/setup-2.573.2.3.exe

浏览次数：2760
严重程度：0（网友投票）