发布日期：2000-03-04
更新日期：2000-03-04

受影响系统：

SGI IRIX 5.x
SGI IRIX 6.x

不受影响系统：

IRIX 6.5.8

描述：

---

IRIX 5.x 和 6.x缺省都安装了"fam"(file alteration monitor)程序。这个服务程序用来
监视系统文件变化情况.它可能被攻击者用来远程获取系统目录和文件的完整列表.

fam服务是一个rpc程序，序号是391002.
% /usr/etc/rpcinfo -p | grep 391002
如果你得到下面这行消息，那你的系统可能是有问题的。
    391002    1   tcp   1051  sgi_fam

当程序与fam server进行初始化连接时，它将传递给fam server要监视的文件或者目录名。
如果传递的是目录名，fam server会立刻返回给客户端该目录下所有文件以及子目录的列
表。如果传送给fam server的是根目录，攻击者就可以远程获取目标系统中所有文件的列
表。


<* 来源：NAI Security Advisory #16
         http://www.nai.com/nai_labs/asp_set/advisory/
         SGI Security Advisory
         http://www.sgi.com/support/security/
*>         
  


建议：

---

新的fam 程序已经修复了这个漏洞，可以在下列地址得到：
http://oss.sgi.com/projects/fam/

临时解决办法：
     
     修改/etc/inetd.conf，将其中的

        sgi_fam/1 stream rpc/tcp wait root /usr/etc/fam fam
        行注释掉，变成：
        #sgi_fam/1 stream rpc/tcp wait root /usr/etc/fam fam
     然后重启inetd,   
        # /etc/killall -HUP inetd
     并杀掉所有正在运行的fam进程,
        # /etc/killall fam

注意，这可能导致某些应用程序不能正常工作，比如fm, mailbox, mediad,
      scanners, sysmon , fxbuilder, IRIS Annotator 和MediaMail等
      需要用到fam的应用程序。


浏览次数：7954
严重程度：0（网友投票）