发布日期：2000-11-17
更新日期：2000-11-17

受影响系统：

    OpenBSD 2.8
    OpenBSD 2.7
    OpenBSD 2.6
    RedHat Linux 6.1
    RedHat Linux 6.0
    RedHat Linux 5.2

不受影响系统：

  Debian Linux 2.2

描述：

---

在许多不同平台Unix环境下，存在一个漏洞，即利用诸如adduser/useradd这类工具
增加用户的时候，默认组名等同于用户名，比如增加一个名为kmem的用户，将自动把
该用户列入kmem组，对于/dev/kmem这样的设备来说，用户kmem将可以读写它。类似
这样潜在提升用户权限的可能很多，某些WWW形式的用户管理界面存在同样问题。恶
意而技艺高超的用户可能利用这类漏洞损害系统安全性。

<* 来源：Michal Zalewski (lcamtuf@tpi.pl) *>




建议：

---

临时解决办法：

    NSFOCUS建议您在使用这两程序添加用户时注意设置正确的用户组别。

厂商补丁：

    暂无。


浏览次数：5721
严重程度：0（网友投票）