发布日期:2003-08-28
更新日期:2003-09-04
受影响系统:
HP HP-UX 11.23
HP HP-UX 11.22
HP HP-UX 11.20
HP HP-UX 11.11
HP HP-UX 11.04
HP HP-UX 11.0
HP HP-UX 10.9
HP HP-UX 10.8
HP HP-UX 10.34
HP HP-UX 10.30
HP HP-UX 10.26
HP HP-UX 10.24
HP HP-UX 10.20 SIS
HP HP-UX 10.20
HP HP-UX 10.16
HP HP-UX 10.10
HP HP-UX 10.10
HP HP-UX 10.01
HP HP-UX 10.0
描述:
--------------------------------------------------------------------------------
HP-UX是惠普公司开发和维护的商业性质Unix操作系统。
HP-UX当使用"<<"重定向符时不安全建立临时文件,本地攻击者可以利用这个漏洞破坏本地文件系统或提升权限。
当使用使用"<<"重定向符时HP-UX shell建立的临时文件名基于进程ID,因此攻击者可以通过符号链接或者操作临时文件进行攻击,导致以用户进程权限破坏文件系统,提升权限等攻击。
<*来源:Secunia Security Advisories (sec-adv@secunia.com)
链接
http://archives.neohapsis.com/archives/secunia/2003-q3/0468.html
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
HP
--
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
采用如下补丁程序:
HP-UX B.11.11:
PHCO_27345 (sh-posix)
PHCO_27019 (ksh)
PHCO_26561 (CSh)
HP-UX B.11.00:
PHCO_27344 (sh-posix)
PHCO_27418 (ksh)
PHCO_27763 (csh)
HP-UX B.10.20:
PHCO_27804 (sh-posix)
PHCO_27803 (ksh)
PHCO_27819 (csh)
可从如下地址获得补丁信息:
http://www4.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX0308-275
