安全研究

安全漏洞
NetBSD xlockmore 4.16 缓冲区溢出漏洞

发布日期:2000-05-31
更新日期:2000-05-31

受影响系统:
David Bagley xlock 4.16
不受影响系统:
David Bagley xlock 4.16.1
描述:

xlock锁定Xwindow显示,直到启动X的用户提供正确的口令。为了完成口令验证,
xlock都是setuid-to-root。由于一个缓冲区溢出漏洞,使得启动X的用户可以得到部
分shadow文件内容。通过提供一个超长的-mode参数,将覆盖一个全局指针,该指针
指向的内容是"usage"输出信息。如果覆盖该指针,使之指向shadow数据,由于参数
超长,xlock报错、输出"usage"信息,并退出,结果是部分shadow数据被输出。


<* 来源:NetBSD advisory 2000-003 *>


建议:

    这个漏洞在NetBSD源代码包中得到修正。

    先卸载原来有问题的二进制包:
    pkg_delete -v xlockmore

    编译、安装新版本:
    cd pkgsrc/x11/xlockmore
    make clean
    make install

    NetBSD源代码包可以从下列网址取得:
    ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/x11/
          xlockmore/README.html

浏览次数:6099
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障