NetBSD xlockmore 4.16 缓冲区溢出漏洞

发布日期：2000-05-31
更新日期：2000-05-31

受影响系统：

David Bagley xlock 4.16

不受影响系统：

David Bagley xlock 4.16.1

描述：

---

xlock锁定Xwindow显示，直到启动X的用户提供正确的口令。为了完成口令验证，
xlock都是setuid-to-root。由于一个缓冲区溢出漏洞，使得启动X的用户可以得到部
分shadow文件内容。通过提供一个超长的-mode参数，将覆盖一个全局指针，该指针
指向的内容是"usage"输出信息。如果覆盖该指针，使之指向shadow数据，由于参数
超长，xlock报错、输出"usage"信息，并退出，结果是部分shadow数据被输出。


<* 来源：NetBSD advisory 2000-003 *>


建议：

---

这个漏洞在NetBSD源代码包中得到修正。

先卸载原来有问题的二进制包：
pkg_delete -v xlockmore

编译、安装新版本：
cd pkgsrc/x11/xlockmore
make clean
make install

NetBSD源代码包可以从下列网址取得：
ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/x11/
xlockmore/README.html

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有