发布日期：2010-03-27
更新日期：2010-04-19

受影响系统：

GNU nano 2.2.3

不受影响系统：

GNU nano 2.2.4

描述：

---

BUGTRAQ  ID: 39502
CVE(CAN) ID: CVE-2010-1160,CVE-2010-1161

GNU nano是一个体积小巧而功能强大的文本编辑器。

GNU nano没有正确地验证当前所编辑的文件是否已经更改到了当前编辑会话环境之外便执行了写入操作，在创建备份文件时存在竞争条件。本地用户可以通过符号链接攻击来利用这个漏洞，导致覆盖任意文件或获得任意文件的所有权。

<*来源：Dan Rosenberg
  
  链接：http://secunia.com/advisories/39444
        http://drosenbe.blogspot.com/2010/03/nano-as-root.html
        http://www.gentoo.org/security/en/glsa/glsa-201006-08.xml
*>

建议：

---

厂商补丁：

GNU
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://lists.gnu.org/archive/html/nano-devel/2010-04/msg00000.html

Gentoo
------
Gentoo已经为此发布了一个安全公告（GLSA 201006-08）以及相应补丁:
GLSA 201006-08：nano: Multiple vulnerabilities
链接：http://www.gentoo.org/security/en/glsa/glsa-201006-08.xml

浏览次数：2246
严重程度：0（网友投票）