安全研究
安全漏洞
Alcatel OmniPCX缺省文件权限漏洞
发布日期:2002-02-19
更新日期:2002-02-22
受影响系统:Alcatel OmniPCX 4400
描述:
BUGTRAQ ID:
4133
CVE(CAN) ID:
CVE-2002-0295
OmniPCX是企业级的Personal Communications Exchange (PCX)系统,由Alcatel负责维护开发。
缺省安装完成后,许多包含敏感信息的目录、文件允许所有人可写或组可写,比如
/chetc/menus
/chetc/msg
/chetc/lck
/etc/bootptab
/etc/mnttab
/etc/misc
/fs
/mnt
/usr2
/usr/ctsrv
/usr/preserve
/usr/tmp
/usr2/soft_install
结合"Alcatel OmniPCX系统缺省口令漏洞",攻击者可以获取系统管理权限。比如,以mtcl帐号登录,该帐号是tel组成员,
> ls -l /chbin/pre_login
42 -rwsrwxr-x 1 root tel 20096 Oct 9 1998 pre_login
>
攻击者可以修改/chbin/pre_login,以root身份执行任意命令。
此外所有用户的.profile文件存在类似问题。
<*来源:Irib (
irib@securitybugware.org)
链接:
http://archives.neohapsis.com/archives/bugtraq/2002-02/0188.html
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 以root用户身份登陆,把这些敏感文件和目录的权限改为只能由root用户可读。
厂商补丁:
Alcatel
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.ind.alcatel.com/omnipcx/index.cfm?cnt=index浏览次数:3171
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |