发布日期：2002-05-29
更新日期：2002-06-05

受影响系统：

Harald Hoyer autorun 2.7

描述：

---

BUGTRAQ  ID: 4884
CVE(CAN) ID: CVE-2002-0915

Autorun是一款Xandros Linux操作系统中的setuid程序。

Autorun在处理-c参数时存在漏洞，可导致本地攻击者以root权限读取系统任意文件内容。

Autorun在Xandros Linux系统中以setuid属性进行安装，攻击者可以提交任意系统文件作为参数提交给-c选项，可导致autorun返回文件内容。攻击者可以利用此漏洞查看系统上敏感文件内容如/etc/shadow。

<*来源：KF （dotslash@snosoft.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-05/0260.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时去掉Autorun程序的setuid位。

厂商补丁：

Harald Hoyer
------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.xandros.net/

浏览次数：2983
严重程度：0（网友投票）