NVD Vulnerability Detail

CVE-2010-2253

Summary	lwp-download in libwww-perl before 5.835 does not reject downloads to filenames that begin with a . (dot) character, which allows remote servers to create or overwrite files via (1) a 3xx redirect to a URL with a crafted filename or (2) a Content-Disposition header that suggests a crafted filename, and possibly execute arbitrary code as a consequence of writing to a dotfile in a home directory.
Publication Date	July 7, 2010, 2:17 a.m.
Registration Date	Jan. 29, 2021, 11:02 a.m.
Last Update	Nov. 21, 2024, 10:16 a.m.

CVSS2.0 : MEDIUM
Score	6.8
Vector	AV:N/AC:M/Au:N/C:P/I:P/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	低
可用性への影響(A)	低
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	はい

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:search.cpan:libwww-perl:5.40_01:::::::*
cpe:2.3:a:search.cpan:libwww-perl::::::::		5.834
cpe:2.3:a:gisle_aas:libwww-perl:5.828:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.827:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.826:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.825:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.811:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.810:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.808:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.807:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.74:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.73:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.72:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.71:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_92:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_91:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_90:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.52:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.36:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.35:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.34:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.33:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.15:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.14:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.13:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.12:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b12:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b11:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b10:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b9:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.833:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.820:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.819:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.818:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.817:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.802:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.801:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.800:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.79:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.65:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.64:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.63:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.62:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_97:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.47:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.46:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.45:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.44:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.20:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.19:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.18_05:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.18_04:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.07:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.06:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.05:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.04:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:0.04:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:0.03:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:0.02:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:0.01:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.831:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.829:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.824:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.822:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.815:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.813:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.805:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.803:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.78:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.76:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.69:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.67:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.60:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_96:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_94:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.51:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.49:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.42:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.32:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.30:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.21:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.18_03:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.17:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.10:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.08:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.03:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.01:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b13:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b8:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b6:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.832:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.830:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.823:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.821:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.816:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.814:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.812:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.806:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.804:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.77:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.75:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.70:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.68:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.66:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.61:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_95:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_93:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.50:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.48:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.43:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.41:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.31:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.22:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.18:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.16:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.11:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.09:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.02:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.00:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b7:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b5:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	http://cpansearch.perl.org/src/GAAS/libwww-perl-5.836/Changes
2	http://cpansearch.perl.org/src/GAAS/libwww-perl-5.836/Changes
3	http://lists.fedoraproject.org/pipermail/package-announce/2010-November/050232.html
4	http://lists.fedoraproject.org/pipermail/package-announce/2010-November/050232.html
5	http://lists.fedoraproject.org/pipermail/package-announce/2010-November/050245.html
6	http://lists.fedoraproject.org/pipermail/package-announce/2010-November/050245.html
7	http://marc.info/?l=oss-security&m=127411372529485&w=2
8	http://marc.info/?l=oss-security&m=127411372529485&w=2
9	http://marc.info/?l=oss-security&m=127611288927500&w=2
10	http://marc.info/?l=oss-security&m=127611288927500&w=2
11	http://www.ocert.org/advisories/ocert-2010-001.html
12	http://www.ocert.org/advisories/ocert-2010-001.html
13	http://www.ubuntu.com/usn/USN-981-1
14	http://www.ubuntu.com/usn/USN-981-1
15	http://www.vupen.com/english/advisories/2010/2872
16	http://www.vupen.com/english/advisories/2010/2872
17	https://bugzilla.redhat.com/show_bug.cgi?id=591580
18	https://bugzilla.redhat.com/show_bug.cgi?id=591580
19	https://bugzilla.redhat.com/show_bug.cgi?id=602800
20	https://bugzilla.redhat.com/show_bug.cgi?id=602800

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html

JVN Vulnerability Information

libwww-perl の lwp-download におけるファイルを作成される脆弱性

Title	libwww-perl の lwp-download におけるファイルを作成される脆弱性
Summary	libwww-perl の lwp-download は、. (dot) 文字で開始するファイル名へのダウンロードを拒否しないため、ファイルを作成および上書きされる、および home ディレクトリ内の dotfile に書き込みされ任意のコードを実行される脆弱性が存在します。
Possible impacts	リモートサーバにより、以下を介して、ファイルを作成および上書きされる、および home ディレクトリ内の dotfile に書き込みされ任意のコードを実行される可能性があります。 (1) 巧妙に細工されたファイル名を伴う URL への 3xx リダイレクト (2) 巧妙に細工されたファイル名を示唆する Content-Disposition ヘッダ
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	July 6, 2010, midnight
Registration Date	Dec. 20, 2012, 7:29 p.m.
Last Update	Dec. 20, 2012, 7:29 p.m.

Affected System

Gisle Aas

libwww-perl 5.835 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2010-2253	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2253
National Vulnerability Database (NVD)
2	CVE-2010-2253	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-2253

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	Name	URL
search.cpan
1	Changes	http://cpansearch.perl.org/src/GAAS/libwww-perl-5.836/Changes

Change Log

No	Changed Details	Date of change
0	[2012年12月20日] 掲載	Feb. 17, 2018, 10:37 a.m.

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:search.cpan:libwww-perl:5.40_01:::::::*
cpe:2.3:a:search.cpan:libwww-perl::::::::		5.834
cpe:2.3:a:gisle_aas:libwww-perl:5.828:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.827:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.826:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.825:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.811:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.810:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.808:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.807:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.74:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.73:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.72:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.71:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_92:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_91:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_90:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.52:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.36:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.35:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.34:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.33:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.15:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.14:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.13:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.12:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b12:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b11:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b10:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b9:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.833:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.820:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.819:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.818:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.817:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.802:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.801:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.800:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.79:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.65:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.64:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.63:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.62:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_97:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.47:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.46:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.45:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.44:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.20:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.19:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.18_05:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.18_04:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.07:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.06:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.05:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.04:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:0.04:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:0.03:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:0.02:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:0.01:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.831:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.829:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.824:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.822:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.815:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.813:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.805:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.803:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.78:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.76:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.69:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.67:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.60:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_96:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_94:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.51:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.49:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.42:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.32:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.30:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.21:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.18_03:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.17:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.10:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.08:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.03:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.01:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b13:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b8:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b6:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.832:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.830:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.823:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.821:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.816:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.814:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.812:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.806:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.804:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.77:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.75:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.70:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.68:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.66:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.61:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_95:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.53_93:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.50:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.48:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.43:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.41:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.31:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.22:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.18:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.16:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.11:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.09:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.02:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5.00:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b7:::::::*
cpe:2.3:a:gisle_aas:libwww-perl:5b5:::::::*