发布日期：2010-06-02
更新日期：2010-07-07

受影响系统：

CPAN libwww-perl <= 5.834

不受影响系统：

CPAN libwww-perl 5.835

描述：

---

BUGTRAQ  ID: 67710
CVE(CAN) ID: CVE-2010-2253

libwww-perl是Perl软件包中所使用的函数库，提供到WWW的简单编程接口。

libwww-perl库中的lwp-download没有拒绝文件名以句号字符（.）开始的下载，远程服务器可以通过到特制文件名URL的3xx重新定向或建议特制文件名的Content-Disposition头诱骗用户向本地磁盘下载非预期的文件。

<*来源：Solar Designer （solar@openwall.com）
        Hank Leininger
  
  链接：http://bugzilla.maptools.org/show_bug.cgi?format=multiple&id=2210
        https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=591580
        https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=602800
*>

建议：

---

厂商补丁：

CPAN
----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://cpansearch.perl.org/src/GAAS/libwww-perl-5.836/Changes

浏览次数：2890
严重程度：0（网友投票）