漏洞信息详情
HP-UX usermod工具本地非授权访问漏洞
- CNNVD编号:CNNVD-200603-281
- 危害等级: 中危
- CVE编号: CVE-2006-1248
- 漏洞类型: 访问验证错误
- 发布时间: 2006-03-17
- 威胁类型: 本地
- 更新时间: 2006-03-17
- 厂 商: hp
- 漏洞来源: HP Security Bullet...
漏洞简介
HP-UX是一款HP公司开发的UNIX操作系统。
一些版本的HP-UX usermod(1M)命令中存在漏洞,某些组合选项可能导致在用户新的主目录中递归地更改所有目录和文件得所有权,这可能导致非授权访问这些目录和文件。
以如下方式执行有漏洞的usermod(1M)版本:
# usermod -d <old home dir> -u <new gid> -m <username>
或
# usermod -d <old home dir> -u <new or old gid> -m <username>
会导致将所有文件和目录的所有权递归地更改为<username>。
如果主目录为\"/\",则系统会立即变得无法操作。对于非\"/\"的主目录,这也可能不是漏洞。如果主目录下的目录或文件所有者为<username>以外的帐号,则受影响文件或目录可能存在非授权访问漏洞。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://www1.itrc.hp.com/service/cki/docDisplay.do?hpweb_printable=true&docId=c00614838
参考网址
来源: XF
名称: hpux-usermod-unauthorized-access(25311)
链接:http://xforce.iss.net/xforce/xfdb/25311
来源: BID
名称: 17143
链接:http://www.securityfocus.com/bid/17143
来源: VUPEN
名称: ADV-2006-0997
链接:http://www.frsirt.com/english/advisories/2006/0997
来源: SECTRACK
名称: 1015834
链接:http://securitytracker.com/id?1015834
来源: SECTRACK
名称: 1015782
链接:http://securitytracker.com/id?1015782
来源: SECUNIA
名称: 19305
链接:http://secunia.com/advisories/19305
来源: HP
名称: HPSBUX02102
链接:http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=en&cc=us&objectID=c00614838
来源: US Government Resource: oval:org.mitre.oval:def:785
名称: oval:org.mitre.oval:def:785
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:785
来源: US Government Resource: oval:org.mitre.oval:def:772
名称: oval:org.mitre.oval:def:772
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:772
来源: US Government Resource: oval:org.mitre.oval:def:1098
名称: oval:org.mitre.oval:def:1098
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:1098
受影响实体
- Hp Hp-Ux:11.11
- Hp Hp-Ux:11.23:Ia64_64-Bit
- Hp Hp-Ux:11.00
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论