首页 -> 安全研究
安全研究
绿盟月刊
绿盟安全月刊->第30期->最新漏洞
日期:2002-04-12
更新日期: 2002-4-8
受影响的系统:
SGI SNMP
- IRIX 6.5.9
- IRIX 6.5.8
- IRIX 6.5.7
- IRIX 6.5.6
- IRIX 6.5.5
- IRIX 6.5.4
- IRIX 6.5.3
- IRIX 6.5.2
- IRIX 6.5.15
- IRIX 6.5.14
- IRIX 6.5.13
- IRIX 6.5.12
- IRIX 6.5.11
- IRIX 6.5.10
- IRIX 6.5.1
- IRIX 6.5
描述:
--------------------------------------------------------------------------BUGTRAQ ID: 4421
CVE(CAN) ID: CAN-2002-0017
IRIX是SGI公司发布的一个商业UNIX系统。
IRIX的SNMP守护进程存在缓冲区溢出漏洞,远程攻击者可以通过溢出攻击在主机上以root的身份执行任意代码。
IRIX的守护进程在处理畸形的SNMP请求时存在缓冲区溢出问题,远程攻击者可能利用这个公共只读的SNMP分支的溢出漏洞不需要任何认证就可以取得对主机的完全控制。
<*来源:ISS X-Force (xforce@iss.net)
链接:ftp://patches.sgi.com/support/free/security/advisories/20020201-01-P
http://www.iss.net/security_center/alerts/advise106.php
*>
--------------------------------------------------------------------------
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 如果SNMP服务不是必要的,关闭之。或者对SNMP服务端口设置访问过滤,只允许合法可信的用户连接访问。
厂商补丁:
SGI
---
SGI已经为此发布了一个安全公告(20020201-01-P)以及相应补丁:
20020201-01-P:SNMP Vulnerabilities
链接:ftp://patches.sgi.com/support/free/security/advisories/20020201-01-P
补丁情况:
系统版本 是否受影响 补丁号 备注
---------- ----------- ------- -------------
IRIX 3.x 未知 备注 1
IRIX 4.x 未知 备注 1
IRIX 5.x 未知 备注 1
IRIX 6.0.x 未知 备注 1
IRIX 6.1 未知 备注 1
IRIX 6.2 未知 备注 1
IRIX 6.3 未知 备注 1
IRIX 6.4 未知 备注 1
IRIX 6.5 是 4574 备注 2 & 3
IRIX 6.5.1 是 4574 备注 2 & 3
IRIX 6.5.2 是 4574 备注 2 & 3
IRIX 6.5.3 是 4574 备注 2 & 3
IRIX 6.5.4 是 4574 备注 2 & 3
IRIX 6.5.5 是 4574 备注 2 & 3
IRIX 6.5.6 是 4574 备注 2 & 3
IRIX 6.5.7 是 4574 备注 2 & 3
IRIX 6.5.8 是 4574 备注 2 & 3
IRIX 6.5.9 是 4574 备注 2 & 3
IRIX 6.5.10 是 4574 备注 2 & 3
IRIX 6.5.11 是 4574 备注 2 & 3
IRIX 6.5.12 是 4574 备注 2 & 3
IRIX 6.5.13 是 4574 备注 2 & 3
IRIX 6.5.14 是 4574 备注 2 & 3
IRIX 6.5.15 是 4574 备注 2 & 3
备注:
1) 这个版本的IRIX系统已经不再被维护了,请升级到受支持的版本,参看
http://support.sgi.com/irix/news/index.html#policy来获得更多的信息。
2) 如果你还未收到一张IRIX 6.5.x for IRIX 6.5的CD,请联系SGI的支持
部门,访问:http://support.sgi.com/irix/swupdates/ 。
3) 升级到IRIX 6.5.16m或6.5.16f。
您可以在下列地址下载IRIX补丁:
http://support.sgi.com/
ftp://patches.sgi.com/support/patchset/
版权所有,未经许可,不得转载