AIX 6.1 TL 0 : libC (IZ56203)

high Nessus Plugin ID 64341

概要

遠端 AIX 主機缺少安全性修補程式。

說明

在處理 XL C++ runtime 程式庫的除錯元件之 _LIB_INIT_DBG 和
_LIB_INIT_DBG_FILE 環境變數的過程中發現一個錯誤。本機使用者可在執行與 XL C++ runtime 程式庫連結之 setuid root 程式時利用此錯誤,建立由 root 所擁有之任意、任何人皆可寫入的檔案。

本機使用者若能成功利用此弱點,便可以 root 使用者身分建立任意檔案,並執行任意程式碼。

請注意,AIX 6.1 中的除錯元件已從 libC.a 移至 libc.a。這表示已藉由更新 AIX 5.3 和先前版本中的 XL C++ runtime,以及藉由更新 AIX 6.1 中的 bos.rte.libc 檔案集,完成修正。

下列程式庫容易遭受攻擊:

AIX 5.3 及之前版本:/usr/lpp/xlC/lib/libC.a

AIX 6.1:/usr/ccs/lib/libc.a /usr/ccs/lib/libp/libc.a。

解決方案

安裝適當的過渡期修正。

另請參閱

https://aix.software.ibm.com/aix/efixes/security/libC_advisory.asc

Plugin 詳細資訊

嚴重性: High

ID: 64341

檔案名稱: aix_IZ56203.nasl

版本: 1.5

類型: local

已發布: 2013/1/30

已更新: 2023/4/21

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 7.2

媒介: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: cpe:/o:ibm:aix:6.1

必要的 KB 項目: Host/local_checks_enabled, Host/AIX/version, Host/AIX/lslpp

修補程式發佈日期: 2009/8/4

弱點發布日期: 2009/8/4

參考資訊

CVE: CVE-2009-2669

CWE: 264