# RHSA-2018:2285: yum-utils security update ## 基本信息 標題: Redhat yum-utils reposync 目錄穿越漏洞 CVSS分值: 8.8 CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 披露時間: 2018-07-11 CVEID: CVE-2018-10897 簡介: yum-utils套件中的reposync工具存在一個目錄穿越缺陷，漏洞源于reposync沒有對遠程庫配置文件中的路徑進行正確的處理，如果攻擊者控制了同步使用的遠程庫，他們可以控制reposycn將遠程庫中的文件拷貝至受害者系統中指定目錄以外的位置。如果reposync是以root權限運行，則攻擊者可以控制其覆蓋敏感系統文件進行入侵，提權等其他操作。 解決方案: 請直接在漏洞處理頁面，選擇對應服務器和漏洞，生成修復命令后，登錄到服務器上運行即可。 參考鏈接: access.redhat.com ## 修復命令 ``` yum update yum-plugin-fastestmirror ```