BUGTRAQ ID: 30375
CVE(CAN) ID: CVE-2008-3323
Cygwin是许多自由软件的集合,用于在各种版本的Microsoft Windows上运行UNIX类系统。
Cygwin的Tarball软件包是通过setup.exe安装和升级的,该程序通过明文HTTP或FTP从镜像下载软件包列表和软件包,软件包列表中包含有用于验证完整性的MD5校验和。如果恶意的服务器响应了负责升级软件包的HTTP请求并返回修改的MD5字符串的话,setup.exe就会下载并安装恶意软件包。
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
<a href=“http://cygwin.com/setup/snapshots/setup-2.573.2.3.exe” target=“_blank”>http://cygwin.com/setup/snapshots/setup-2.573.2.3.exe</a>