可能的符号链接攻击

每次我想升级或安装一个PEAR软件包时,我都会收到以下一系列错误消息:

C:>梨升级
从pear.php.net获取频道信息时出错:SECURITY ERROR:不会写入C:\ Users \ ALVARO.GONZALEZ \ AppData \ Local \ Temp \ pear \ cache \ 6d1f6e892384ae452db9a1bd59ee95f5rest.cacheid,因为它符号链接到C:\ Users \ ALVARO.GONZALEZ \ AppData \ Local \ Temp \ pear \ cache \ 6d1f6e892384ae452db9a1bd59ee95f5rest.cacheid – 可能的符号链接攻击
[…]

它在说什么符号链接? 当我复制并粘贴两条path并将它们并排放置时,我实在无法发现它们之间的区别:

C:\Users\ALVARO.GONZALEZ\AppData\Local\Temp\pear\cache\6d1f6e892384ae452db9a1bd59ee95f5rest.cacheid C:\Users\ALVARO.GONZALEZ\AppData\Local\Temp\pear\cache\6d1f6e892384ae452db9a1bd59ee95f5rest.cacheid 

清空caching目录时错误消失:

 C:\>pear clear-cache reading directory C:\Users\ALVARO.GONZALEZ\AppData\Local\Temp\pear\cache 74 cache entries cleared 

…直到下一次我需要安装的东西。

我的问题是:

  1. 为什么这些错误被触发?
  2. 有没有办法阻止他们摆在首位?

编辑: 2011年底有一个关于这个问题的公开票 。这个问题是由PEAR安装中的Symlink攻击的安全修复引起的。 我会报告任何出来。

这个问题是一个梨的错误:

  • Bug#18056在Windows上的回归

这个bug是在2014年7月12日发布的PEAR 1.9.5上修复的。

删除用户目录C:\ Users \ ALVARO.GONZALEZ \ AppData \ Local \ Temp \ pear \ cache \中的pear \ cache目录的全部内容。

那么你应该可以做梨安装