漏洞关键信息 漏洞类型 SymLink Following Vulnerability (CWE-59): 多个文件操作在特权上下文中允许通过符号链接进行文件重定向,可能导致权限提升或数据泄露。 影响组件 1. : 使用 的 函数会跟随符号链接,进而通过 操作符号链接目标。 2. : 使用 打开符号链接,并通过 修改文件权限。 3. : 多个包装函数使用 后跟 。 4. : 使用 后跟 。 5. : 后跟 使用。 修复措施 1. 引入 辅助函数在 。 2. 在编译时检查 Support(非硬编码的每平台配置)。 3. 在支持平台( ):使用 实现原子符号链接拒绝。 4. 在不支持 的平台:降级使用 并发出编译警告。 5. 更新受影响的包装函数以使用 。 6. : 使用 替代 并跳过符号链接。 报告信息 报告人: Pavel Kohout, Aisle Research, www.aisle.com 签名: Pavel Kohout,Ingo Franzki等。