ISS Advisory:/bin/login存在缓冲溢出漏洞发布时间:2001-12-13 更新时间:2001-12-13 严重程度:高 威胁程度:远程管理员权限 错误类型:环境错误 利用方式:服务器模式 受影响系统 IBM AIX versions 4.3 and 5.1详细描述 部分系统使用Login来认证访问系统,其中system v系列的login存在一个远程 缓冲溢出漏洞。 System v的login实现允许用户指定环境变量来进行处理,一缓冲数组用来存储 这些参数,由于没有检查接收参数的数量,可以导致缓冲溢出。 多数系统中login没有被设置suid;但是login可以被其他应用程序以更高的权限来 调用,如telnetd或者rlogind,通过利用这个漏洞来获得远程管理员权限。 测试代码 尚无 解决方案 建议关闭telnet,rlogin认证,而使用SSH应用程序来进行认证。 请关注各供应商以获得最新补丁。 相关信息 参考:http://www.cert.org/advisories/CA-2001-34.html |
