HP-UX可视化会议软件安装不安全默认权限漏洞
发布日期:2002-12-11
更新日期:2002-12-18
受影响系统:HP HP-UX 11.11
HP HP-UX 11.0
描述:
BUGTRAQ ID:
6357
HP-UX是一款由惠普公司开发和维护的商业性质UNIX操作系统。
HP-UX包含的可视化会议(Visualize Conference)程序安装不正确,本地攻击者可以利用这个漏洞未授权访问敏感目录和文件。
在安装可视化会议程序后,部分目录会以不安全权限设置,即使产品被卸载后,此不安全权限设置仍旧存在。
如果HP-UX Visualize Conference B.11.00.11版本安装时目录不存在,此问题才会发生。因此不是所有使用HP-UX Visualize Conference B.11.00.11版本的系统存在此漏洞。如果原来目录设置正确,后来管理员重新安装这个程序也不会导致权限更改产生此漏洞。
<*来源:Hewlett Packard Security
链接:
http://archives.neohapsis.com/archives/hp/2002-q4/0060.html
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 手工更改目录权限:
以ROOT权限建立如下脚本:
#!/sbin/sh
# chown_chmod root:sys 755 file
chown $1 $3
chmod $2 $3
然后:
chown_chmod bin:bin 755 /etc/dt
chown_chmod root:sys 755 /etc/dt/appconfig
chown_chmod root:sys 755 /etc/dt/appconfig/icons
chown_chmod root:sys 755 /etc/dt/appconfig/icons/C
chown_chmod root:sys 755 /etc/dt/appconfig/types
chown_chmod root:sys 755 /etc/dt/appconfig/types/C
厂商补丁:
HP
--
HP已经为此发布了一个安全公告(HPSBUX0212-231):
HPSBUX0212-231:SSRT2434 Sec. vulnerability with HP-UX Visualize Conference
链接:
http://archives.neohapsis.com/archives/hp/2002-q4/0060.html
由于这个漏洞只需正确配置就可避免,所以HP在安全公告里提供了临时解决方法,暂时还没有提供补丁下载。
浏览次数:2844
严重程度:0(网友投票)