发布日期：2003-12-03
更新日期：2003-12-09

受影响系统：

XBoard XBoard 4.2.6
XBoard XBoard 4.2.5

不受影响系统：

XBoard XBoard 4.2.7

描述：

---

BUGTRAQ  ID: 9151

XBoard是一款图形化国际象棋用户接收引擎，提供Internet互连作战服务。

XBoard以不安全方式建立临时文件，本地攻击者可以利用这个漏洞破坏系统文件，可能造成拒绝服务。

XBoard包含的pxboard脚本在/tmp目录中建立临时文件时其文件名可预测，在多用户环境中，恶意用户可以利用这个漏洞通过符号链接破坏系统文件，造成拒绝服务。

<*来源：Martin Macok （martin.macok@underground.cz）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=107047779429412&w=2
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 修改pxboard脚本：

#!/bin/sh
tmp=`mktemp "${TMPDIR:-/tmp}/pxboard.$$.XXXXXX"` || exit 1
cat > "$tmp"
( xboard -ncp -lgf "$tmp" "$@" ; rm "$tmp" ) &

厂商补丁：

XBoard
------
目前厂商已经在4.2.7版本的软件中修复了这个安全问题，请到厂商的主页下载：

http://www.tim-mann.org/xboard.html

浏览次数：2670
严重程度：0（网友投票）