发布日期：2003-04-28
更新日期：2003-05-08

受影响系统：

Compaq Tru64 5.1b PK1 (BL1)
Compaq Tru64 5.1a PK4 (BL21)
Compaq Tru64 5.1 PK6 (BL20)
Compaq Tru64 5.0a PK3 (BL17)
Compaq Tru64 4.0g PK3 (BL17)
Compaq Tru64 4.0f PK7 (BL18)
HP HP-UX
HP MPE/iX
HP OpenVMS Secure Web Server

不受影响系统：

HP HP-UX 9.9
HP HP-UX 9.8
HP HP-UX 9.7
HP HP-UX 9.6
HP HP-UX 9.5
HP HP-UX 9.4
HP HP-UX 9.3
HP HP-UX 9.10
HP HP-UX 9.1
HP HP-UX 9.0
HP HP-UX 8.9
HP HP-UX 8.8
HP HP-UX 8.7
HP HP-UX 8.6
HP HP-UX 8.5
HP HP-UX 8.4
HP HP-UX 8.2
HP HP-UX 8.1
HP HP-UX 8.0
HP HP-UX 7.8
HP HP-UX 7.6
HP HP-UX 7.4
HP HP-UX 7.2
HP HP-UX 7.0
HP HP-UX 11.22
HP HP-UX 11.20
HP HP-UX 11.11
HP HP-UX 11.04
HP HP-UX 11.0
HP HP-UX 10.9
HP HP-UX 10.8
HP HP-UX 10.34
HP HP-UX 10.30
HP HP-UX 10.26
HP HP-UX 10.24
HP HP-UX 10.20 SIS
HP HP-UX 10.20
HP HP-UX 10.16
HP HP-UX 10.10
HP HP-UX 10.10
HP HP-UX 10.01
HP HP-UX 10.0
HP MPE/iX 7.5
HP MPE/iX 7.0
HP MPE/iX 6.5
HP MPE/iX 6.0
HP MPE/iX 5.5
HP MPE/iX 5.0
HP MPE/iX 4.5
HP MPE/iX 4.0
HP OpenVMS Secure Web Server 1.2
HP OpenVMS Secure Web Server 1.1.1

描述：

---

BUGTRAQ  ID: 7452
CVE(CAN) ID: CVE-2003-0221

HP Tru64是一款HP公司开发的商业性质Unix操作系统。

HP Tru64包含的dupatch和setld工具在存在问题，本地攻击者可以利用这个漏洞利用符号链接对本地系统进行破坏，可导致拒绝服务或权限提升。

dupatch和setld工具用于升级和安装补丁和程序，当这些脚本以root用户权限运行时，存在符号链接攻击问题，本地攻击者可以利用此问题对系统进行拒绝服务或权限提升。目前没有详细漏洞细节。

<*来源：HP Security Bulletin （security-alert@hp.com）
  
  链接：*>

建议：

---

厂商补丁：

Compaq
------
Compaq已经为此发布了一个安全公告（SSRT3471）以及但没有发布相应补丁:
SSRT3471：HP Tru64 UNIX Potential Security Vulnerability in Software Installation and Update Utilities

浏览次数：2916
严重程度：0（网友投票）