发布日期：2002-02-19
更新日期：2002-02-22

受影响系统：

Alcatel OmniPCX 4400

描述：

---

BUGTRAQ  ID: 4133
CVE(CAN) ID: CVE-2002-0295

OmniPCX是企业级的Personal Communications Exchange (PCX)系统，由Alcatel负责维护开发。

缺省安装完成后，许多包含敏感信息的目录、文件允许所有人可写或组可写，比如

/chetc/menus
/chetc/msg
/chetc/lck
/etc/bootptab
/etc/mnttab
/etc/misc
/fs
/mnt
/usr2
/usr/ctsrv
/usr/preserve
/usr/tmp
/usr2/soft_install

结合"Alcatel OmniPCX系统缺省口令漏洞"，攻击者可以获取系统管理权限。比如，以mtcl帐号登录，该帐号是tel组成员，

> ls -l /chbin/pre_login
42 -rwsrwxr-x 1 root tel 20096 Oct 9 1998 pre_login
>

攻击者可以修改/chbin/pre_login，以root身份执行任意命令。

此外所有用户的.profile文件存在类似问题。

<*来源：Irib （irib@securitybugware.org）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-02/0188.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 以root用户身份登陆，把这些敏感文件和目录的权限改为只能由root用户可读。

厂商补丁：

Alcatel
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.ind.alcatel.com/omnipcx/index.cfm?cnt=index

浏览次数：3171
严重程度：0（网友投票）