发布日期：2002-01-28
更新日期：2002-01-29

受影响系统：

SGI IRIX 6.5.14m
SGI IRIX 6.5.14f
SGI IRIX 6.5.14
SGI IRIX 6.5.13m
SGI IRIX 6.5.13f
SGI IRIX 6.5.13
SGI IRIX 6.5.12m
SGI IRIX 6.5.12f
SGI IRIX 6.5.12
SGI IRIX 6.5.11m
SGI IRIX 6.5.11f
SGI IRIX 6.5.11
SGI IRIX 6.5.10m
SGI IRIX 6.5.10f

描述：

---

BUGTRAQ  ID: 3974
CVE(CAN) ID: CVE-2002-2093

SGI O2工作站集成了高质量和强大的图象和视频处理功能，它运行于6.5系列的IRIX操作系统。

SGI O2存在一个视频会话信息泄漏的漏洞。

在各种SGI系统中VCP（视频控制面板）提供了图形用户接口来配置显卡类型。当VCP接口把缺省输入设置成"Output Video"，使得本地用户可以执行videoout使用videoin来浏览受影响主机的屏幕信息，而且能绕过主机上xhosts或xauth的设置。这个问题可能会泄漏主机上的敏感信息。

所有的SGI O2系统存在这个问题，其它的SGI系统不受影响。

<*链接：ftp://patches.sgi.com/support/free/security/advisories/20020103-01-I
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 按以下步骤做可以解决这个问题：

在/var/X11/xdm/Xstartup添加如下内容：
  #
  # Set the permissions of /dev/mvp so only the console user has access
  #
  if [ -r /dev/mvp ]; then
    chown $USER /dev/mvp
    chmod 600 /dev/mvp
  fi

在/var/X11/xdm/Xreset添加如下内容：
  #
  # Reset the permissions on /dev/mvp
  #
  if [ -r /dev/mvp ]; then
    chown root /dev/mvp
    chmod 666 /dev/mvp
  fi

厂商补丁：

SGI
---
SGI已经为此发布了一个安全公告（20020103-01-I）以及相应补丁:
20020103-01-I：IRIX O2 video security issue
链接：ftp://patches.sgi.com/support/free/security/advisories/20020103-01-I

浏览次数：3225
严重程度：0（网友投票）