10-09-29 15:02 0 RSS 2.0

受影响系统：
Gentoo Linux

描述：
Gentoo Linux是一套通用的、快捷的、完全免费的Linux版本，面向开发人员和专业网络人员。

Gentoo Linux的ssl-cert.eclass实现上存在漏洞，本地攻击者可能利用此漏洞非授权获取信息。

在ssl-cert.eclass中，docert函数用于生成SSL密钥和SSL证书。如果在src_compile或src_install中使用了docert函数，SSL密钥就会包含在不受保护的binpkg中，任何可以访问系统的用户都可以解压tarball恢复密钥。如果要利用这个漏洞，攻击者必须能够访问使用–buildpkg或–buildpkgonly选项编译的二进制软件包。

厂商补丁：
Gentoo已经为此发布了一个安全公告（GLSA-200803-30）以及相应补丁:
GLSA-200803-30：ssl-cert eclass: Certificate disclosure
链接：http://security.gentoo.org/glsa/glsa-200803-30.xml

Linux Kiss Server lks.c文件多个格式串处理漏洞 网名：flashsky