发布日期：2003-12-08
更新日期：2003-12-12

受影响系统：

NeoStats NeoStats 2.5.9
NeoStats NeoStats 2.5.8
NeoStats NeoStats 2.5.7
NeoStats NeoStats 2.5.6
NeoStats NeoStats 2.5.5
NeoStats NeoStats 2.5.4
NeoStats NeoStats 2.5.3
NeoStats NeoStats 2.5.2
NeoStats NeoStats 2.5.1
NeoStats NeoStats 2.5

不受影响系统：

NeoStats NeoStats 2.5.10

描述：

---

BUGTRAQ  ID: 9177

NeoStats是一款通过装载模块提供服务结合IRC的系统，目前支持UnrealIRCD，UltimateIRCD，Hybrid7等。

当集合部分版本的UnrealIRCD安装时存在安全问题，本地攻击者可以利用这个漏洞进行权限提升。

当升级到Unreal 3.2 beta19时，Unreal小组对产生用户模式的方式进行了更改，而NeoStats当前没有支持，一个非特权用户可以利用这个问题以网络技术管理员身份访问NeoStats，造成权限提升。

<*来源：vendor
  
  链接：http://www.neostats.net/boards/viewtopic.php?t=952
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 补丁下载：

--- Unreal.c (revision 1024)
+++ Unreal.c (working copy)
@@ -273,8 +273,6 @@
,
{UMODE_NETADMIN, 'N', NS_ULEVEL_ADMIN}
,
- {UMODE_TECHADMIN, 'T', 190}
- ,
{UMODE_CLIENT, 'c', 0}
,
{UMODE_FLOOD, 'f', 0}

厂商补丁：

NeoStats
--------
目前厂商已经在最新版本的软件中修复了这个安全问题，请到厂商的主页下载：

NeoStats Upgrade NeoStats-2.5.10.tar.gz
http://www.dynam.ac/members/sitescripts/counter/dlcount.php?id=neostats&url=http://www.neostats.net/NeoStats-2.5.10.tar.gz

浏览次数：2606
严重程度：0（网友投票）