Cygwin包处理存在安全漏洞

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

CVE ID:CVE-2008-3323 CNCVE ID:CNCVE-20083323 Cygwin是一款运行于Windows下的免费的UNIX的子系统。 Cygwin存在安全问题,远程攻击者可以利用漏洞破坏受影响系统。 Tarball软件包通过setup.exe安装和升级,通过明文HTTP或FTP从镜像下载包列表和包存在问题,包列表中博阿含MD5校验来验证包的完整性,如果伪造的服务器回答负责包升级的HTTP请求并使用修改的MD5字符串进行响应, setup.exe就会下载和安装恶意包,导致任意代码以登录用户进程权限执行。 要成功利用此漏洞需要攻击者伪造镜像或进行DNS伪造攻击。 Cygwin 1.x Cygwin 4.x 升级到Cygwin 2.573.2.3版本: <a href=http://cygwin.com/setup/snapshots/setup-2.573.2.3.exe target=_blank>http://cygwin.com/setup/snapshots/setup-2.573.2.3.exe</a>

0%
暂无可用Exp或PoC
当前有0条受影响产品信息