发布日期：2019-11-21
更新日期：2019-11-25

受影响系统：

Debian xcfa < 5.0.1
Debian xcfa

描述：

---

BUGTRAQ  ID: 69020
CVE(CAN) ID: CVE-2014-5254

xcfa是一款用于提取音频CD并将音乐文件转换为flac、wav、mp3等格式文件的工具。

xcfa 5.0.1之前版本，由于没有安全地创建临时文件，在实现中存在安全漏洞，本地攻击者可利用该漏洞实施符号链接攻击并覆盖任意文件。

<*来源：Steve Kemp （skx@debian.org）
  *>

建议：

---

厂商补丁：

Debian
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

https://packages.debian.org/jessie/sound/xcfa
http://www.openwall.com/lists/oss-security/2014/08/15/4
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=756600
https://bugs.gentoo.org/show_bug.cgi?id=CVE-2014-5255
https://exchange.xforce.ibmcloud.com/vulnerabilities/95332
https://security-tracker.debian.org/tracker/CVE-2014-5254

浏览次数：1220
严重程度：0（网友投票）