发布日期：2012-12-14
更新日期：2012-12-18

受影响系统：

IBM Advanced Settings Utility (ASU) 9.x
IBM Bootable Media Creator (BoMC) 9.x

描述：

---

BUGTRAQ  ID: 56961
CVE(CAN) ID: CVE-2012-3329

IBM Advanced Settings Utility (ASU)是IBM用于修改BIOS/BMC/RSA/UEFI/IMM微码参数的工具。 Bootable Media Creator (BoMC)是用来创建IBM服务器微码升级盘的工具。

ASU和BoMC运行在Linux系统上时，其所创建的log和临时文件会与系统(或用户)文件相链接。而ASU和BoMC创建临时文件（或日志文件）都使用可预测的硬编码名称，即使没有root权限的用户也可利用这些文件名建立临时文件(或日志文件)与系统(或用户)文件之间的链接，这些链接可造成系统（或用户）文件被覆盖，而最终导致系统被破坏。

<*来源：vendor
  
  链接：http://secunia.com/advisories/51525/
        https://www-304.ibm.com/connections/blogs/PSIRT/entry/security_vulnerability_with_ibm_advanced_settings_utility_asu_and_ibm_bootable_media_creator_bomc_when_used_under_the_linux_operating_system_cve_2012_3329_ibm_flex_system_system_x_and_bladecenter10?lan
        http://www-947.ibm.com/support/entry/portal/docdisplay?lndocid=MIGR-5092090
*>

建议：

---

厂商补丁：

IBM
---
IBM已经为此发布了一个安全公告（MIGR-5092090）以及相应补丁:

MIGR-5092090：Security vulnerability with IBM Advanced Settings Utility (ASU) and IBM Bootable Media Creator (BoMC) when used under the Linux operating system (CVE-2012-3329) - IBM Flex System, System x and BladeCenter

链接：http://www-947.ibm.com/support/entry/portal/docdisplay?lndocid=MIGR-5092090

补丁下载：
http://www-947.ibm.com/support/entry/portal/docdisplay?lndocid=TOOL-ASU
http://www-947.ibm.com/support/entry/portal/docdisplay?lndocid=TOOL-BOMC

浏览次数：5756
严重程度：0（网友投票）