漏洞信息详情
Integrity Protection Driver文件保护可被符号链接绕过漏洞
- CNNVD编号:CNNVD-200312-350
- 危害等级: 低危
- CVE编号: CVE-2003-1246
- 漏洞类型: 其他
- 发布时间: 2003-01-03
- 威胁类型: 本地
- 更新时间: 2006-01-17
- 厂 商: pedestal_software
- 漏洞来源: crazylord※ crazylo...
漏洞简介
Pedestal Software的完整性保护驱动(IPD)是一款开放源代码设备驱动,设计用于禁止新服务和驱动安装,防止已经存在的驱动被篡改。 Pedestal Software IPD对符号链接处理不正确,本地攻击者可以利用这个漏洞绕过保护,使用恶意文件覆盖驱动文件。 为了防止恶意模块装载到内核中,IPD对winnt/system32/drivers目录进行保护,因此不能修改此目录中的任意文件,这通过使用ZwCreatFile()和ZwOpenFile()函数完成,并使用字符串对比检查文件路径。 但是,使用NtCreateSymbolicLinkObject()函数,攻击者可以欺骗IPD,通过建立符号链接相关某个目录到IPD保护的目录(如winnt/system32/drivers),就可以绕过IPD保护,通过新的符号链接访问驱动目录。
漏洞公告
厂商补丁: Pedestal Software ----------------- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
Pedestal Software Upgrade Integrity Protection Driver 1.4
http://www.pedestalsoftware.com/download/ipd.zip
参考网址
来源: BID 名称: 6511 链接:http://www.securityfocus.com/bid/6511 来源: XF 名称: ipd-ntcreatesymboliclinkobject-subs-symlink(10979) 链接:http://www.iss.net/security_center/static/10979.php 来源: BUGTRAQ 名称: 20030103 Another way to bypass Integrity Protection Driver ('subst' vuln) 链接:http://archives.neohapsis.com/archives/bugtraq/2003-01/0018.HTML 来源: BUGTRAQ 名称: 20030103 Pedestal Software Security Notice 链接:http://archives.neohapsis.com/archives/bugtraq/2003-01/0017.HTML 来源:NSFOCUS 名称:4143 链接:http://www.nsfocus.net/vulndb/4143
受影响实体
- Pedestal_software Integrity_protection_driver:1.3
- Pedestal_software Integrity_protection_driver:1.2
补丁
暂无
评论