漏洞信息详情
AIX libIM.a本地缓冲区溢出漏洞
- CNNVD编号:CNNVD-200203-043 <!--
- 危害等级: 低危-->
- 危害等级: 低危
- CVE编号: CVE-2002-0087
- 漏洞类型: 设计错误
- 发布时间: 2002-03-15
- 威胁类型: 本地
- 更新时间: 2005-10-20
- 厂 商: lotus
- 漏洞来源: iDEFENSE Labs※ lab...
-
漏洞简介
AIX是IBM公司开发和维护的UNIX操作系统实现,AIX提供对国家语言的支持(NLS)。 NLS使用的liblM库对用户提交的参数缺少正确的边界检查,本地攻击者可以利用这个漏洞进行缓冲区溢出攻击,可以以特权权限在系统上执行任意指令。 AIX系统中的\"/usr/lpp/X11/bin/aixterm\"二进制程序调用liblM库,并默认情况下以setuid root属性安装,其中\'\'aixterm\'\'使用的\"-im\"参数命令行如果接收到50字节长的字符串时,在调用liblM库时可发生缓冲区溢出,攻击者通过控制执行函数的返回地址,以ROOT权限在系统上执行任意指令。
漏洞公告
厂商补丁: IBM --- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
临时补丁下载:
ftp://aix.software.ibm.com/aix/efixes/security/libIM_efix.tar.Z
IBM提供如下正式补丁:
APAR number for AIX 4.3.3: IY40307
APAR number for AIX 5.1.0: IY40317
APAR number for AIX 5.2.0: IY40320
For 4.3.3 APARs:
http://techsupport.services.ibm.com/rs6k/fixdb.html
For 5.1.0 APARs:
http://techsupport.services.ibm.com/server/aix.fdc
For 5.2.0 APARs:
http://techsupport.services.ibm.com/server/aix.fdc
注意:这些补丁不适合AIX4.3版本之前的系统,这些系统IBM已经没有提供维护。建议用户升级到4.3.3或5.1.0版本之后再采用补丁。
参考网址
来源: XF 名称: lotus-domino-tmpfile-symlink(8586) 链接:http://xforce.iss.net/xforce/xfdb/8586 来源: BID 名称: 4318 链接:http://www.securityfocus.com/bid/4318 来源: www.esecurityonline.com 链接:http://www.esecurityonline.com/advisories/eSO4125.asp 来源: www-1.ibm.com 链接:http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg21095671
受影响实体
- Lotus Domino:5.0.7:Solaris<!--2000-1-1-->
补丁
暂无
还没有评论,来说两句吧...