NSFOCUS绿盟科技

首页 -> 安全研究

安全研究

安全漏洞

XTel 用户临时文件条件竞争漏洞

发布日期：2001-12-05
更新日期：2001-12-14

受影响系统：

xtel xtel 2.2
xtel xtel 2.3
xtel xtel 2.4
xtel xtel 3.0
xtel xtel 3.1
xtel xtel 3.2
   - Debian Linux 2.2
   - Debian Linux 2.2 68k
   - Debian Linux 2.2 alpha
   - Debian Linux 2.2 arm
   - Debian Linux 2.2 powerpc
   - Debian Linux 2.2 sparc
xtel xtel 3.2.1
   - Debian Linux 2.2
   - Debian Linux 2.2 68k
   - Debian Linux 2.2 alpha
   - Debian Linux 2.2 arm
   - Debian Linux 2.2 powerpc
   - Debian Linux 2.2 sparc

描述：

BUGTRAQ ID: 3626

Xtel是一款免费，开放源代码的类似Linux X的软件包。

该软件存在安全问题，可能导致覆盖任意系统文件。

当用户执行Xtel时，会在“/tmp”目录下生成临时文件“.xtel-$USER”，其中
“$USER”是执行Xtel的用户帐号，由于Xtel执行之前没有检查临时文件是否存在，或
是否是普通文件，导致恶意攻击者利用该漏洞发起条件竞争攻击，从而覆盖任意系统文
件，潜在地获得root权限。

<*来源：Wichert Akkerman （wichert@wiggy.net）
链接：http://archives.neohapsis.com/archives/bugtraq/2001-12/0060.html
http://www.debian.org/security/2001/dsa-090
*>

建议：

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时换用其它安全的X软件

厂商补丁：

Debian已经发布了安全公告（DSA-090-1）和相应补丁程序：

Debian Linux:
http://www.debian.org/security/2001/dsa-090

Debian Upgrade 2.2 alpha xtel_3.2.1-4.potato.1_alpha.deb
3.2.1-4.potato.1_alpha.deb>http://security.debian.org/dists/stable/updates/main/binary-alpha/xtel_
3.2.1-4.potato.1_alpha.deb

Debian Upgrade 2.2 arm xtel_3.2.1-4.potato.1_arm.deb
2.1-4.potato.1_arm.deb>http://security.debian.org/dists/stable/updates/main/binary-arm/xtel_3.
2.1-4.potato.1_arm.deb

Debian Upgrade 2.2 m68k xtel_3.2.1-4.potato.1_m68k.deb
.2.1-4.potato.1_m68k.deb>http://security.debian.org/dists/stable/updates/main/binary-m68k/xtel_3
.2.1-4.potato.1_m68k.deb

Debian Upgrade 2.2 i386 xtel_3.2.1-4.potato.1_i386.deb
.2.1-4.potato.1_i386.deb>http://security.debian.org/dists/stable/updates/main/binary-i386/xtel_3
.2.1-4.potato.1_i386.deb

Debian Upgrade 2.2 ppc xtel_3.2.1-4.potato.1_powerpc.deb
l_3.2.1-4.potato.1_powerpc.deb>http://security.debian.org/dists/stable/updates/main/binary-powerpc/xte
l_3.2.1-4.potato.1_powerpc.deb

Debian Upgrade 2.2 sparc xtel_3.2.1-4.potato.1_sparc.deb
3.2.1-4.potato.1_sparc.deb>http://security.debian.org/dists/stable/updates/main/binary-sparc/xtel_
3.2.1-4.potato.1_sparc.deb

浏览次数：3748
严重程度：0（网友投票）

关于我们: 公司介绍; 公司荣誉; 公司新闻

联系我们: 公司总部; 分支机构; 海外机构

快速链接: 绿盟云; 绿盟威胁情报中心NTI; 技术博客