多个BSD系统 fstat格式化字符串漏洞发布时间:2000-10-10 更新时间:2000-10-10 严重程度:高 威胁程度:本地管理员权限 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 OpenBSD OpenBSD 2.7详细描述 fstat是一个BSD系统中列出打开文件的工具,以KMEM的SGID来安装。其中 用户可定义环境变量PWD只有一个参数传递给*printf()函数中,攻击者 可以利用格式化字符串来破坏堆栈。 测试代码 K2 <ktwo@ktwo.ca>做了一个XPLOIT供大家测试: www.securityfocus.com/data/vulnerabilities/exploits/k2-caddis-fstat.c 解决方案 升级操作系统到2.8。 相关信息 |
