GNU nano 文件保存资源管理错误漏洞

漏洞介绍

nano是一种类似pico的免费文本编辑器。

GNU nano文件保存功能存在资源管理错误漏洞。在保存文件时，GNU nano没有验证文件在被覆盖之前是否已被更改。本地攻击者可以利用符号链接攻击覆盖任意文件,该符号连接指向被攻击者正在编辑的攻击者所有的文件。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://secunia.com/advisories/39444

来源: SECTRACK

名称: 1023891

链接：http://www.securitytracker.com/id?1023891
来源: MLIST

名称: [oss-security] 20100414 CVE request: GNU nano (minor)

链接：http://www.openwall.com/lists/oss-security/2010/04/14/4
来源: svn.savannah.gnu.org

链接：http://svn.savannah.gnu.org/viewvc/trunk/nano/ChangeLog?revision=4503&root=nano&view=markup
来源: SECUNIA

名称: 39444

链接：http://secunia.com/advisories/39444
来源: MLIST

名称: [Nano-devel] 20100407 New prerelease for security tweaks

链接：http://lists.gnu.org/archive/html/nano-devel/2010-04/msg00000.html