xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
English Version
 最近严重漏洞 
Microsoft RPC接口远程任意代码可执行漏洞
Cisco IOS接口不正确处理IPV4包远程拒绝服务漏洞
Microsoft Windows CreateFile API命名管道权限提升漏洞

Vipw 存在不安全文件权限问题


发布时间:2001-11-06
更新时间:2001-11-06
严重程度:
威胁程度:读取受限文件
错误类型:设计错误
利用方式:服务器模式

受影响系统
Andries Brouwer util-linux 2.10s
   - MandrakeSoft Linux Mandrake 8.0
   - RedHat Linux 7.1 alpha
   - RedHat Linux 7.1 i386
   - RedHat Linux 7.1 ia64
   - RedHat Linux 7.2 i386
Andries Brouwer util-linux 2.11d
详细描述
vipw是用来编辑系统密码和组文件的程序。

一些版本的'vipw'程序在编辑以后没有正确设置'/etc/shadow'文件属性,可以导致这些文件权限变为全局可读,导致任意用户读取其内容。

测试代码
见描述

解决方案
使用升级程序:
Andries Brouwer util-linux 2.10s:

RedHat RPM 7.2 i386 util-linux-2.11f-12.i386.rpm
ftp://updates.redhat.com/7.2/en/os/i386/util-linux-2.11f-12.i386.rpm

相关信息
lloyd@acm.jhu.edu
参考:http://www.securityfocus.com/advisories/3442
Copyright © 1998-2003 XFOCUS Team. All Rights Reserved