发布日期：2003-01-23
更新日期：2004-02-24

受影响系统：

Sun Solairs kcms_server
    - Sun Solaris 9.0 x86
    - Sun Solaris 8.0 x86
    - Sun Solaris 8.0
    - Sun Solaris 7.0
    - Sun Solaris 7.0 x86
    - Sun Solaris 2.6
    - Sun Solaris 2.6 x86
    - Sun Solaris 2.5.1
    - Sun Solaris 2.5.1 x86
    - Sun Solaris 2.5
    - Sun Solaris 2.5 x86

描述：

---

BUGTRAQ  ID: 6665
CVE(CAN) ID: CVE-2003-0027

Kodak Color Management System (KCMS)是一组为不同设备和色彩空间提供色彩管理的API。kcms_server是一个守护进程，允许KCMS库函数访问远程主机的上的资料文件(profile)。

kcms_server提供的一个远程过程KCS_OPEN_PROFILE用来打开上述文件，但其实现中存在一个目录遍历漏洞，由于kcms_server是以root身份运行的，攻击者就可以远程读取任意文件。这些文件缺省位于/etc/openwin/devdata/profiles和/usr/openwin/etc/devdata/profiles 目录下。尽管kcms_server已经对profile文件名做了一些检查以确保不会发生目录遍历漏洞，但这些检查并不全面，因此利用ToolTalk数据库服务器的TT_ISBUILD过程调用在上述目录下创建子目录就可以绕过这些检查。

通过获取敏感文件，例如/etc/passwd或/etc/shadow，攻击者可能获取对系统的普通用户甚至root用户的访问权限。

要利用这个漏洞需要要求目标主机同时正在运行rpc.ttdbserverd服务。

<*来源：Entercept Ricochet Team （Ricochet@entercept.com）
  
  链接：http://www.kb.cert.org/vuls/id/850785
        http://www.entercept.com/news/uspr/01-22-03.asp
        http://sunsolve.Sun.COM/pub-cgi/retrieve.pl?doc=fsalert%2F50104
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 禁止'kcms_server'服务。以Solaris 8系统为例：

  1. 转变成root用户
   $ su -
   #

  2. 禁止kcms_server的执行权限

   # chmod 000 /usr/openwin/bin/kcms_server

  3. 杀掉正在运行的kcms_server进程

   # ps -ef|grep kcms_server
     root  1485   157  0 15:57:02 ?        0:00 kcms_server
   # kill -9 1485 (上面的例子中，1485是kcms_server的pid)

  4. 编辑/etc/inetd.conf, 注释掉其中包含kcms_server的行:
  100221/1        tli     rpc/tcp wait root /usr/openwin/bin/kcms_server kcms_server
  将上面行变成:
  #100221/1        tli     rpc/tcp wait root /usr/openwin/bin/kcms_server kcms_server

  5. 重新启动inetd

   # ps -ef|grep inetd
   root   157     1  0   1月 14 ?        0:00 /usr/sbin/inetd -s
   # kill -HUP 157

厂商补丁：

Sun
---
Sun已经为此发布了一个安全公告（Sun-Alert-50104）以及相应补丁:
Sun-Alert-50104：Security Issue with kcms_server Daemon
链接：http://sunsolve.Sun.COM/pub-cgi/retrieve.pl?doc=fsalert%2F50104

补丁下载：

SPARC Platform

    * Solaris 2.6 107336-02
    * Solaris 7   107337-03
    * Solaris 8 111400-02
    * Solaris 9 114636-01

x86 Platform

    * Solaris 2.6 107338-02
    * Solaris 8 111401-02
    * Solaris 7 107339-03
    * Solaris 9 114637-01

浏览次数：6003
严重程度：0（网友投票）