发布日期：2006-03-17
更新日期：2006-03-20

受影响系统：

HP HP-UX B.11.23
HP HP-UX B.11.11
HP HP-UX B.11.00

描述：

---

BUGTRAQ  ID: 17143

HP-UX是一款HP公司开发的UNIX操作系统。

一些版本的HP-UX usermod(1M)命令中存在漏洞，某些组合选项可能导致在用户新的主目录中递归地更改所有目录和文件得所有权，这可能导致非授权访问这些目录和文件。

以如下方式执行有漏洞的usermod(1M)版本：

# usermod -d <old home dir> -u <new gid> -m <username>
或
# usermod -d <old home dir> -u <new or old gid> -m <username>

会导致将所有文件和目录的所有权递归地更改为<username>。
    
如果主目录为“/”，则系统会立即变得无法操作。对于非“/”的主目录，这也可能不是漏洞。如果主目录下的目录或文件所有者为<username>以外的帐号，则受影响文件或目录可能存在非授权访问漏洞。

<*来源：HP Security Bulletin （security-alert@hp.com）
  
  链接：http://secunia.com/advisories/19305/print/
        http://www1.itrc.hp.com/service/cki/docDisplay.do?hpweb_printable=true&docId=c00614838
*>

建议：

---

厂商补丁：

HP
--
HP已经为此发布了一个安全公告（HPSBUX02102）以及相应补丁:
HPSBUX02102：SSRT051078 rev.1 - HP-UX usermod(1M) Local Unauthorized Access.
链接：http://www1.itrc.hp.com/service/cki/docDisplay.do?hpweb_printable=true&docId=c00614838

浏览次数：3063
严重程度：0（网友投票）