漏洞信息详情
QNX多个本地缓冲区溢出漏洞
- CNNVD编号:CNNVD-200212-213
- 危害等级: 中危
- CVE编号: CVE-2002-1633
- 漏洞类型: 边界条件错误
- 发布时间: 2002-06-12
- 威胁类型: 本地
- 更新时间: 2005-10-20
- 厂 商: qnx
- 漏洞来源: Egor Egorov※ madra...
漏洞简介
QNX RTOS是一款设计用于嵌入系统的实时操作系统,由QNX分发和维护。 QNX RTOS中多个程序存在漏洞,本地攻击者利益利用这些漏洞进行缓冲区溢出攻击。 QNX RTOS中有漏洞的多个程序多数以setuid root属性默认安装,这些程序对用户提交的参数边界长度缺少正确的检查,攻击者可以进行缓冲区溢出攻击,精心构建参数数据可能导致以root权限执行任意指令。 包含漏洞的程序如下所示: /bin/du /bin/ex /bin/find /bin/lex /bin/mkdir /bin/rm /bin/sample /bin/serserv /bin/tcpserv /bin/termdef /bin/time /bin/unzip /bin/use /bin/wcc /bin/wcc386 /bin/wd /bin/wdisasm /bin/which /bin/wlib /bin/wlink /bin/wpp /bin/wpp386 /bin/wprof /bin/write /bin/wstrip
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 加强本地权限管理,只允许可信用户访问。 厂商补丁: QNX --- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.qnx.com/
参考网址
来源:US-CERT Vulnerability Note: VU#879386 名称: VU#879386 链接:http://www.kb.cert.org/vuls/id/879386 来源: XF 名称: qnx-rtos-bin-bo(9341) 链接:http://xforce.iss.net/xforce/xfdb/9341 来源: BID 名称: 5000 链接:http://www.securityfocus.com/bid/5000 来源: BUGTRAQ 名称: 20020612 madcr: QnX 4.25 - multiples bof in suid/no suid files 链接:http://www.securityfocus.com/archive/1/276553 来源:NSFOCUS 名称:2978 链接:http://www.nsfocus.net/vulndb/2978
受影响实体
- Qnx Qnx_rtos:4.25
补丁
暂无
评论