FreeBSD 'freebsd-update'工具不安全目录权限漏洞
来源:岁月联盟
时间:2009-12-06
FreeBSD 8.0-STABLEFreeBSD 7.2-STABLEFreeBSD 7.1-STABLEFreeBSD 6.4 -STABLEFreeBSD 6.3漏洞描述:
Bugraq ID: 37190FreeBSD是一款开放源代码的基于BSD的操作系统。freebsd-update(8)工具用于下载,安装,升级。当通过'freebsd-update fetch'或'freebsd-update upgrade'下载升级时,freebsd-update(8)工具会拷贝当前安装文件到工作目录(默认为/var/db/freebsd-update),用于配置文件的合并更改,并能够回滚安装的更新。freebsd-update(8)使用的默认工作目录在FreeBSD安装阶段建立,允许本地用户查看其中内容,freebsd-update(8)没有对存在在此目录中的文件访问进行任何限制。<*参考
http://www.securityfocus.com/archive/1/508179*>安全建议:
用户可参考如下供应商提供的补丁程序:FreeBSD FreeBSD 6.4 -STABLEFreeBSD freebsd-update.patchhttp://security.FreeBSD.org/patches/SA-09:17/freebsd-update.patchFreeBSD FreeBSD 8.0-STABLEFreeBSD freebsd-update.patchhttp://security.FreeBSD.org/patches/SA-09:17/freebsd-update.patchFreeBSD FreeBSD 6.3FreeBSD freebsd-update.patchhttp://security.FreeBSD.org/patches/SA-09:17/freebsd-update.patchFreeBSD FreeBSD 7.1-STABLEFreeBSD freebsd-update.patchhttp://security.FreeBSD.org/patches/SA-09:17/freebsd-update.patchFreeBSD FreeBSD 7.2-STABLEFreeBSD freebsd-update.patch
