发布日期：2002-01-23
更新日期：2002-01-25

受影响系统：

Scott Parish chuid 1.2
Scott Parish chuid 1.1
Scott Parish chuid 1.0

不受影响系统：

Scott Parish chuid 1.3

描述：

---

BUGTRAQ  ID: 3938
CVE(CAN) ID: CVE-2002-0145

chuid是一个免费的，开放源码的文件属主更改程序。程序主要用于Web服务器上，解决由PHP的safe_mode带来的非Web用户拥有的PHP脚本无法接受上传文件的问题，它是通过允许一个在编译时指定的目录中的文件能被改变成任意属主实现的。程序由Scott Parish开发和维护，运行于Linux系统下。

chuid实现上存在问题，远程攻击者可以利用这个漏洞改变特权文件的属主。

chuid 1.2及其以前的版本没有正确检查要被改变的文件的属主，允许远程攻击者改变其他用户（例如root用户）拥有的文件的属主。

<*来源：Scott Parish （srp@srparish.net）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-01/0272.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时停止此程序的使用。

厂商补丁：

Scott Parish
------------
目前厂商已经发布了新版本的程序以修复这个安全问题，请到厂商的主页下载：

http://srparish.net/scripts/chuid-1.3.tar.gz

浏览次数：2948
严重程度：0（网友投票）