发布日期：2021-01-13
更新日期：2021-05-11

受影响系统：

Open-iSCSI tcmu-runner 1.5.x<= Version <= 1.5.2
Open-iSCSI tcmu-runner 1.4.x
Open-iSCSI tcmu-runner 1.3.x

描述：

---

CVE(CAN) ID: CVE-2021-3139

Open Iscsi Tcmu-runner是Open Iscsi个人开发者的一个用于处理Iscsi 中LIO TCM-User backstore用户空间的守护程序。
Open-iSCSI tcmu-runner 1.3.x、1.4.x、1.5.x至1.5.2版本存在路径便利漏洞。该漏洞源于tcmur_cmd_handler.c的xcopy_locate_udev未对传输层限制进行正确检查。远程攻击者可通过目录遍历利用该漏洞读取或写入文件。

<**>

建议：

---

厂商补丁：

Open-iSCSI
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：


https://github.com/open-iscsi/tcmu-runner/pull/644

浏览次数：756
严重程度：0（网友投票）