发布日期：2002-12-11
更新日期：2002-12-18

受影响系统：

HP HP-UX 11.11
HP HP-UX 11.0

描述：

---

BUGTRAQ  ID: 6357

HP-UX是一款由惠普公司开发和维护的商业性质UNIX操作系统。

HP-UX包含的可视化会议(Visualize Conference)程序安装不正确，本地攻击者可以利用这个漏洞未授权访问敏感目录和文件。

在安装可视化会议程序后，部分目录会以不安全权限设置，即使产品被卸载后，此不安全权限设置仍旧存在。

如果HP-UX Visualize Conference B.11.00.11版本安装时目录不存在，此问题才会发生。因此不是所有使用HP-UX Visualize Conference B.11.00.11版本的系统存在此漏洞。如果原来目录设置正确，后来管理员重新安装这个程序也不会导致权限更改产生此漏洞。

<*来源：Hewlett Packard Security
  
  链接：http://archives.neohapsis.com/archives/hp/2002-q4/0060.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 手工更改目录权限：

以ROOT权限建立如下脚本：

#!/sbin/sh
# chown_chmod root:sys 755 file
chown $1 $3
chmod $2 $3

然后：

chown_chmod bin:bin  755 /etc/dt
chown_chmod root:sys 755 /etc/dt/appconfig
chown_chmod root:sys 755 /etc/dt/appconfig/icons
chown_chmod root:sys 755 /etc/dt/appconfig/icons/C
chown_chmod root:sys 755 /etc/dt/appconfig/types
chown_chmod root:sys 755 /etc/dt/appconfig/types/C

厂商补丁：

HP
--
HP已经为此发布了一个安全公告（HPSBUX0212-231）:
HPSBUX0212-231：SSRT2434  Sec. vulnerability with HP-UX Visualize Conference
链接：http://archives.neohapsis.com/archives/hp/2002-q4/0060.html

由于这个漏洞只需正确配置就可避免，所以HP在安全公告里提供了临时解决方法，暂时还没有提供补丁下载。

浏览次数：2844
严重程度：0（网友投票）