OpenLinux StartKDE脚本处理LD_LIBRARY_PATH存在漏洞

漏洞信息详情

OpenLinux StartKDE脚本处理LD_LIBRARY_PATH存在漏洞

• CNNVD编号：CNNVD-200208-145
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0512
  
• 漏洞类型：
  
  
  未知
  
• 发布时间：
  
  2002-04-01
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2005-05-02
  
• 厂        商：
  
  caldera
• 漏洞来源：
  security@caldera….

OpenLinux是一款免费开放源代码的Linux操作系统实现，由Caldera开发维护。
OpenLinux中的startkde脚本处理LD_LIBRARY_PATH环境变量时存在漏洞，可导致本地用户权限提升。
OpenLinux中的startkde脚本执行时，会设置LD_LIBRARY_PATH环境变量为\”/opt/kde2/lib：\”，并默认搜索当前工作目录，任何在当前目录中发现的KDE需要的库将被装载，攻击者可以伪造一个库放置在当前工作目录中，当startkde脚本执行装载库时导致任意代码可执行，权利提升。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 在运行StartKDE之前检查当前目录下有没有可疑文件。
厂商补丁：
Caldera
——-
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Caldera OpenLinux Server 3.1.1:

Caldera RPM kdeconfig-20011203-2.i386.rpm

ftp://ftp.caldera.com/pub/updates/OpenLinux/3.1.1/Server/current/RPMS/kdeconfig-20011203-2.i386.rpm

Caldera OpenLinux Workstation 3.1.1:

Caldera RPM kdeconfig-20011203-2.i386.rpm

ftp://ftp.caldera.com/pub/updates/OpenLinux/3.1.1/Workstation/current/RPMS/kdeconfig-20011203-2.i386.rpm

来源: BID
名称: 4400
链接:http://www.securityfocus.com/bid/4400

来源: CALDERA
名称: CSSA-2002-005.0
链接:http://www.calderasystems.com/support/security/advisories/CSSA-2002-005.0.txt

来源: XF
名称: kde-startkde-search-directory(8737)
链接:http://www.iss.net/security_center/static/8737.php