处理SUSE Linux非安全权限漏洞,运维的都知道!
最近Novell推出的SUSE Linux很受用户好评,它是作为一个完整的从桌面到数据中心的平台。SuSE Linux是一款开放源代码Linux系统。SuSE Linux对文件链接的属性检查存在漏洞,本地攻击者可能利用这个漏洞非授权读取敏感信息。下面讲解一下SUSE Linux非安全权限处理漏洞。
SuSE Linux捆绑了3组预定义权限,分别是easy、secure和paranoid。permissions软件包所捆绑的chkstat程序可以检查这些权限并选择其中一个级别。easy级为默认的级别,允许一些完全可写的的目录,/usr/src/packages/RPMS及其子目录就是其中之一。为了防范用户的恶意行为,如链接到/etc/shadow,chkstat并不检查有count != 1硬链接的符号链接或文件。但上述检查中存在漏洞。恶意用户可以在chkstat修改的位置放置到/etc/shadow的硬链接,这样就可以访问该文件。
chkstat不会检查该文件,因为它的硬链接计数为2。但是,如果管理员修改了用户数据库的话,就会删除并替换原始的/etc/shadow。这就意味着恶意用户所创建的文件硬链接计数可能降到1。这时chkstat就会将文件的权限修改为任何人都可以读取。因此从技术上来讲,chkstat可能以安全的方式修改文件权限。
受影响系统:
S.u.S.E. Linux Enterprise Server 8 S.u.S.E. Linux Desktop 1.0 S.u.S.E. Linux 9.3 S.u.S.E. Linux 9.2 S.u.S.E. Linux 9.1 S.u.S.E. Linux 9.0 S.u.S.E. Linux 10.0 S.u.S.E. UnitedLinux 1.0 S.u.S.E. SLES 9
补丁下载:
S.u.S.E.已经为此发布了一个安全公告(SUSE-SA:2005:062)以及相应补丁:
SUSE-SA:2005:062:permissions
学会安全漏洞的解决办法,了解SUSE Linux非安全权限处理漏洞,为你学习更加简单明了。
1. 本站所有资源来源于用户上传和网络,因此不包含技术服务请大家谅解!如有侵权请邮件联系客服!10210454@qq.com
2. 本站不保证所提供所有下载的资源的准确性、安全性和完整性,资源仅供下载学习之用!如有链接无法下载、失效或广告,请联系客服处理,有奖励!
3. 您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容资源!如用于商业或者非法用途,与本站无关,一切后果请用户自负!
4. 如果您也有好的资源或教程,您可以投稿发布,成功分享后有RB奖励和额外RMB收入!
磊宇堂正在使用的服务器 维护管理由磊宇云服务器提供支持
磊宇堂 » 处理SUSE Linux非安全权限漏洞,运维的都知道!
2. 本站不保证所提供所有下载的资源的准确性、安全性和完整性,资源仅供下载学习之用!如有链接无法下载、失效或广告,请联系客服处理,有奖励!
3. 您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容资源!如用于商业或者非法用途,与本站无关,一切后果请用户自负!
4. 如果您也有好的资源或教程,您可以投稿发布,成功分享后有RB奖励和额外RMB收入!
磊宇堂正在使用的服务器 维护管理由磊宇云服务器提供支持
磊宇堂 » 处理SUSE Linux非安全权限漏洞,运维的都知道!
