IRIX O2 video 存在安全漏洞发布时间:2002-01-30 更新时间:2002-01-30 严重程度:中 威胁程度:服务器信息泄露 错误类型:设计错误 利用方式:服务器模式 受影响系统 所有SGI O2 系统详细描述 SGI发SGI O2系统中的video i/o存在安全问题,当vcp默认输出设置为"Output Video",远程用户可以登陆到系统中,发起videoout然后videoin,然后就可以看到远程系统中屏幕上所显示的信息,这样就可以如读取EMAIL等信息。而且这个操作无须 考虑远程系统上xhosts或者xauth的设置。 测试代码 见描述 解决方案 目前尚未有效补丁,你可以通过在/var/X11/xdm/Xstartup增加如下信息: # # Set the permissions of /dev/mvp so only the console user has access # if [ -r /dev/mvp ]; then chown $USER /dev/mvp chmod 600 /dev/mvp fi 并在/var/X11/xdm/Xreset增加: # # Reset the permissions on /dev/mvp # if [ -r /dev/mvp ]; then chown root /dev/mvp chmod 666 /dev/mvp fi 这些修改当用户登陆或退出时可以改变mvp设备属主,当设备属性被设置为600时, 没有其他用户可以执行vcp,videoin,videout. 相关信息 SGI安全建议相关地址: http://www.sgi.com/support/security/ ftp://patches.sgi.com/support/free/security/advisories/ SGI安全补丁相关地址: http://www.sgi.com/support/security/ ftp://patches.sgi.com/support/free/security/patches/ 参考:http:/ |
