安全研究
安全漏洞
NetBSD xlockmore 4.16 缓冲区溢出漏洞
发布日期:2000-05-31
更新日期:2000-05-31
受影响系统:David Bagley xlock 4.16
不受影响系统:David Bagley xlock 4.16.1
描述:
xlock锁定Xwindow显示,直到启动X的用户提供正确的口令。为了完成口令验证,
xlock都是setuid-to-root。由于一个缓冲区溢出漏洞,使得启动X的用户可以得到部
分shadow文件内容。通过提供一个超长的-mode参数,将覆盖一个全局指针,该指针
指向的内容是"usage"输出信息。如果覆盖该指针,使之指向shadow数据,由于参数
超长,xlock报错、输出"usage"信息,并退出,结果是部分shadow数据被输出。
<* 来源:NetBSD advisory 2000-003 *>
建议:
这个漏洞在NetBSD源代码包中得到修正。
先卸载原来有问题的二进制包:
pkg_delete -v xlockmore
编译、安装新版本:
cd pkgsrc/x11/xlockmore
make clean
make install
NetBSD源代码包可以从下列网址取得:
ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/x11/
xlockmore/README.html
浏览次数:6099
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |