Monotone MT文件任意代码执行漏洞

漏洞介绍

Monotone 0.25及其早期版本，当用户在一个叫做\"mt\"的目录中创建文件时，和当在一个区分大小写的文件系统如Windows或Mac OS X检查上述文件时，会将该文件置于\"MT\"账户目录中，从而作为运行monotone的用户，按文本内容攻击者可执行任意Lua程序。

漏洞补丁

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

Monotone Monotone 0.25

Monotone monotone-0.25.2.tar.gz

http://venge.net/monotone/downloads/monotone-0.25.2.tar.gz

参考网址

来源: MLIST

名称: [Monotone-devel] 20060308 [ANNOUNCE] Monotone 0.25.2 -- security fix release

链接：http://lists.gnu.org/archive/html/monotone-devel/2006-03/msg00062.html

来源: XF

名称: monotone-mt-lua-code-execution(25294)

链接：http://xforce.iss.net/xforce/xfdb/25294

来源: BID

名称: 17139

链接：http://www.securityfocus.com/bid/17139

来源: VUPEN

名称: ADV-2006-0990

链接：http://www.frsirt.com/english/advisories/2006/0990

受影响实体

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200603-198