AIX 6.1 TL 1 : libC (IZ56204)

high Nessus Plugin ID 64342

語系：

概要

遠端 AIX 主機缺少安全性修補程式。

說明

在處理 XL C++ runtime 程式庫的除錯元件之 _LIB_INIT_DBG 和
_LIB_INIT_DBG_FILE 環境變數的過程中發現一個錯誤。本機使用者可在執行與 XL C++ runtime 程式庫連結之 setuid root 程式時利用此錯誤，建立由 root 所擁有之任意、任何人皆可寫入的檔案。

本機使用者若能成功利用此弱點，便可以 root 使用者身分建立任意檔案，並執行任意程式碼。

請注意，AIX 6.1 中的除錯元件已從 libC.a 移至 libc.a。這表示已藉由更新 AIX 5.3 和先前版本中的 XL C++ runtime，以及藉由更新 AIX 6.1 中的 bos.rte.libc 檔案集，完成修正。

下列程式庫容易遭受攻擊：

AIX 5.3 及之前版本：/usr/lpp/xlC/lib/libC.a

AIX 6.1：/usr/ccs/lib/libc.a /usr/ccs/lib/libp/libc.a。