xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
English Version

Netscape 6安装时临时文件建立存在问题


发布时间:2001-08-28
更新时间:2001-08-28
严重程度:
威胁程度:本地拒绝服务
错误类型:竞争条件
利用方式:服务器模式

受影响系统
Netscape 6.01a
详细描述
在Solaris 2.7/8 Sparc上安装Netscape 6.01a时,建立的/tmp/admin.3842
文件属性是644,如果这个包在多用户环境下由ROOT安装的话,就可能存在
符号连接漏洞,导致覆盖任何系统文件,下面时有问题的代码:

# grep tmp ns6install
cat >/tmp/admin.$$ <<EOF
                        /usr/sbin/pkgrm -n -a /tmp/admin.$$ ${pkg}.* 2>&1
        /usr/sbin/pkgadd -n -a /tmp/admin.$$ -d `pwd` $pkg 2>&1
#

测试代码
尚无

解决方案
临时方法:

在单用户下安装系统,清楚/tmp目录中的文件然后安装。

相关信息
Larry W. Cashdollar (lwc@Vapid.dhs.org)