发布日期：2004-07-22
更新日期：2004-08-02

受影响系统：

Nessus Nessus 2.1.0
Nessus Nessus 2.0.9
Nessus Nessus 2.0.8
Nessus Nessus 2.0.7
Nessus Nessus 2.0.6
Nessus Nessus 2.0.5
Nessus Nessus 2.0.4
Nessus Nessus 2.0.3
Nessus Nessus 2.0.2
Nessus Nessus 2.0.11
Nessus Nessus 2.0.10
Nessus Nessus 2.0.1
Nessus Nessus 2.0

不受影响系统：

Nessus Nessus 2.1.1
Nessus Nessus 2.0.12

描述：

---

BUGTRAQ  ID: 10784
CVE(CAN) ID: CVE-2004-1445

Nessus是一款流行的漏洞扫描程序。

Nessus的'nessus-adduser'以不安全方式创建临时文件，本地攻击者可以利用这个漏洞破坏系统文件。

'nessus-adduser'脚本用于增加Nessus用户，当建立用户时，Nessus以不安全方式创建临时文件，非特权用户可以通过符号链接，当管理员增加用户执行脚本时，导致目标文件破坏，可能存在提升权限问题。

<*来源：Cyrille Barthelemy
  *>

建议：

---

厂商补丁：

Nessus
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Nessus Upgrade Nessus 2.0.12
http://ftp.nessus.org/nessus/nessus-2.0.12/src/

Nessus Upgrade Nessus 2.1.1
http://ftp.nessus.org/nessus/nessus-2.1.1/src/

浏览次数：2751
严重程度：0（网友投票）