受影响系统:
HP HP-UX B.11.23
HP HP-UX B.11.11
HP HP-UX B.11.00
描述:
HP-UX是一款HP公司开发的UNIX操作系统。
一些版本的HP-UX usermod(1M)命令中存在漏洞,某些组合选项可能导致在用户新的主目录中递归地更改所有目录和文件得所有权,这可能导致非授权访问这些目录和文件。
以如下方式执行有漏洞的usermod(1M)版本:
# usermod -d <old home dir> -u <new gid> -m <username>
或
# usermod -d <old home dir> -u <new or old gid> -m <username>
会导致将所有文件和目录的所有权递归地更改为<username>。
如果主目录为“/”,则系统会立即变得无法操作。对于非“/”的主目录,这也可能不是漏洞。如果主目录下的目录或文件所有者为<username>以外的帐号,则受影响文件或目录可能存在非授权访问漏洞。
厂商补丁:
HP
--
HP已经为此发布了一个安全公告(HPSBUX02102)以及相应补丁:
HPSBUX02102:SSRT051078 rev.1 - HP-UX usermod(1M) Local Unauthorized Access.
链接:http://www1.itrc.hp.com/service/cki/docDisplay.do?hpweb_printable=true&docId=c00614838