GNU m4格式串及文件名引用漏洞

BUGTRAQ ID: 28688
CVE(CAN) ID: CVE-2008-1687,CVE-2008-1688

GNU M4是广泛应用的GNU宏处理器。

GNU M4的src/freeze.c文件中的produce_frozen_state()函数存在格式串处理漏洞，如果向m4 -F传送了特制的文件名参数的话，就可能导致执行任意指令。

GNU M4在实现maketemp和mkstemp宏时存在漏洞，如果输出字符串中包含有特殊字符的话，就可能导致处理不正确的文件。

GNU m4 1.4.10
GNU

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

<a href=“http://git.sv.gnu.org/gitweb/?p=m4.git;a=commit;h=035998112737e52cb229e342913ef404e5a51040” target=“_blank”>http://git.sv.gnu.org/gitweb/?p=m4.git;a=commit;h=035998112737e52cb229e342913ef404e5a51040</a>
<a href=“http://git.sv.gnu.org/gitweb/?p=m4.git;a=commit;h=5345bb49077bfda9fabd048e563f9e7077fe335d” target=“_blank”>http://git.sv.gnu.org/gitweb/?p=m4.git;a=commit;h=5345bb49077bfda9fabd048e563f9e7077fe335d</a>