发布日期：2004-04-19
更新日期：2004-04-23

受影响系统：

AVAYA CMS Server 9.0
AVAYA CMS Server 8.0
AVAYA CMS Server 11.0
AVAYA Visual Vectors Server vvsv12ab.a
AVAYA Visual Vectors Server vvsv11aa.e
AVAYA Visual Vectors Server vvs9b.a
AVAYA Visual Vectors Server vvs9a.g
AVAYA Visual Vectors Server vvs8d.a
AVAYA Visual Vectors Server vvs8c.a
AVAYA Visual Vectors Server vvs8b.b

描述：

---

BUGTRAQ  ID: 10176

Avaya Visual Vectors是Avaya客户管理管理解决方案。

Avaya Visual Vectors服务程序默认包含可写脚本，本地攻击者利用这个脚本提升权限。

由于默认安装的配置错误，存在全局可写的脚本，攻击者可以实用恶意脚本代码此可写脚本，当Avaya Visual Vectors调用此脚本时以root用户权限执行包含在恶意脚本中的任意命令，造成权限提升。

<*来源：Avaya
  *>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* chmod 755 /usr/bin/setupaas

厂商补丁：

AVAYA
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://support.avaya.com/security/

浏览次数：2700
严重程度：0（网友投票）