漏洞信息详情
ETerm Home环境变量缓冲溢出漏洞
- CNNVD编号:CNNVD-200203-088
- 危害等级: 中危
- CVE编号: CVE-2002-0143
- 漏洞类型: 边界条件错误
- 发布时间: 2002-01-13
- 威胁类型: 本地
- 更新时间: 2006-09-05
- 厂 商: michael_jennings
- 漏洞来源: Charles Stevenson※...
漏洞简介
Eterm是一个运行于Linux和Unix操作系统的免费、开放源码的终端模拟程序。它由Michael Jennings维护。 Eterm在处理HOME环境变量时存在一个缓冲溢出漏洞,允许本地用户获取sgid utmp属性。 Eterm在大多数系统上是以setgid utmp的属性安装的。当将环境变量$HOME设置为4128个字节长的字符串时,执行Eterm将产生缓冲溢出。本地用户可以用覆盖返回地址的方法转而执行自己的代码,而且得到utmp组的权限。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 去掉ETerm的sgid utmp属性。
# chmod g-s Eterm 厂商补丁: Eterm ----- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.eterm.org
参考网址
来源: XF 名称: eterm-home-bo(7896) 链接:http://www.iss.net/security_center/static/7896.php 来源: BUGTRAQ 名称: 20020121 Re: Eterm SGID utmp Buffer Overflow (Local) 链接:http://online.securityfocus.com/archive/1/251597 来源: BUGTRAQ 名称: 20020113 Eterm SGID utmp Buffer Overflow (Local) 链接:http://online.securityfocus.com/archive/1/250145 来源: BID 名称: 3868 链接:http://www.securityfocus.com/bid/3868
受影响实体
- Michael_jennings Eterm:0.9.1
补丁
暂无
评论