漏洞信息详情
HP OnLine JFS粘贴位功能实现不正确漏洞
- CNNVD编号:CNNVD-200212-119
- 危害等级: 高危
- CVE编号: CVE-2002-2135
- 漏洞类型: 设计错误
- 发布时间: 2002-10-16
- 威胁类型: 本地
- 更新时间: 2006-01-25
- 厂 商:
- 漏洞来源:
漏洞简介
HP OnLineJFS是一款日志文件系统的动态管理程序。 HP OnLineJFS的粘贴位(sticky bit)作用不正确,本地攻击者可以利用这个漏洞修改敏感系统文件属性。 Hewlett-Packard发现当HP-UX releases 10.20和11.00操作系统上安装使用了OnLineJFS(product B3929BA)系统,就会不遵循UNIX文件系统的安全测度,可导致本地攻击者可以修改敏感文件的属性。问题存在于OnLineJFS不正确的粘贴位应用。 要判断系统是否运行OnLineJFS程序,运行如下命令: /usr/sbin/swlist -l fileset JournalFS.VXFS-BASE-KRN 我们目前没有得到详细的漏洞细节。 <*链接:http://archives.neohapsis.com/archives/hp/2002-q4/0007.HTML *>
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 对敏感文件不设置组和全局可写访问属性。 厂商补丁: HP -- HP已经为此发布了一个安全公告(HPSBUX0210-223)以及相应补丁:
HPSBUX0210-223:Security Vulnerability with OnlineJFS 3.1
链接: http://archives.neohapsis.com/archives/hp/2002-q4/0007.HTML
补丁下载:
HP OnlineJFS 3.1:
HP Patch PHKL_24201
http://itrc.hp.com
HP-UX 10.20 series 700
HP Patch PHKL_27833
http://itrc.hp.com
HP-UX 10.20 series 800
HP Patch PHKL_27832
http://itrc.hp.com
参考网址
http://www.iss.net/security_center/static/10399.php※http://online.securityfocus.com/advisories/4569※http://www.securityfocus.com/bid/5979※http://itrc.hp.com※http://www.securityfocus.com/bid/5979※http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-1618※http://archives.neohapsis.com/archives/hp/2002-q4/0007.HTML※http://itrc.hp.com 来源:NSFOCUS 名称:3684 链接:http://www.nsfocus.net/vulndb/3684
受影响实体
暂无
补丁
暂无
评论