Cygwin包处理存在安全漏洞

CVE ID：CVE-2008-3323
CNCVE ID：CNCVE-20083323

Cygwin是一款运行于Windows下的免费的UNIX的子系统。
Cygwin存在安全问题，远程攻击者可以利用漏洞破坏受影响系统。
Tarball软件包通过setup.exe安装和升级，通过明文HTTP或FTP从镜像下载包列表和包存在问题，包列表中博阿含MD5校验来验证包的完整性，如果伪造的服务器回答负责包升级的HTTP请求并使用修改的MD5字符串进行响应， setup.exe就会下载和安装恶意包，导致任意代码以登录用户进程权限执行。
要成功利用此漏洞需要攻击者伪造镜像或进行DNS伪造攻击。

Cygwin 1.x
Cygwin 4.x
升级到Cygwin 2.573.2.3版本：
<a href=“http://cygwin.com/setup/snapshots/setup-2.573.2.3.exe” target=“_blank”>http://cygwin.com/setup/snapshots/setup-2.573.2.3.exe</a>