Sun Solaris kcms_server远程读取任意文件漏洞

漏洞信息详情

Sun Solaris kcms_server远程读取任意文件漏洞

• CNNVD编号：CNNVD-200302-009
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2003-0027
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2003-01-23
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-13
  
• 厂        商：
  
  sun
• 漏洞来源：
  Entercept Ricochet…

Kodak Color Management System (KCMS)是一组为不同设备和色彩空间提供色彩管理的API。kcms_server是一个守护进程，允许KCMS库函数访问远程主机的上的资料文件(profile)。
kcms_server提供的一个远程过程KCS_OPEN_PROFILE用来打开上述文件，但其实现中存在一个目录遍历漏洞，由于kcms_server是以root身份运行的，攻击者就可以远程读取任意文件。这些文件缺省位于/etc/openwin/devdata/profiles和/usr/openwin/etc/devdata/profiles 目录下。尽管kcms_server已经对profile文件名做了一些检查以确保不会发生目录遍历漏洞，但这些检查并不全面，因此利用ToolTalk数据库服务器的TT_ISBUILD过程调用在上述目录下创建子目录就可以绕过这些检查。
通过获取敏感文件，例如/etc/passwd或/etc/shadow，攻击者可能获取对系统的普通用户甚至root用户的访问权限。
要利用这个漏洞需要要求目标主机同时正在运行rpc.ttdbserverd服务。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 禁止’kcms_server’服务。以Solaris 8系统为例：

1. 转变成root用户

$ su –

#

2. 禁止kcms_server的执行权限

# chmod 000 /usr/openwin/bin/kcms_server

3. 杀掉正在运行的kcms_server进程

# ps -ef|grep kcms_server

root 1485 157 0 15:57:02 ? 0:00 kcms_server

# kill -9 1485 (上面的例子中，1485是kcms_server的pid)

4. 编辑/etc/inetd.conf, 注释掉其中包含kcms_server的行:

100221/1 tli rpc/tcp wait root /usr/openwin/bin/kcms_server kcms_server

将上面行变成:

#100221/1 tli rpc/tcp wait root /usr/openwin/bin/kcms_server kcms_server

5. 重新启动inetd

# ps -ef|grep inetd

root 157 1 0 1月 14 ? 0:00 /usr/sbin/inetd -s

# kill -HUP 157
厂商补丁：
Sun
—
Sun已经为此发布了一个安全公告(Sun-Alert-50104)以及相应补丁:

Sun-Alert-50104：Security Issue with kcms_server Daemon

链接：http://sunsolve.Sun.COM/pub-cgi/retrieve.pl?doc=fsalert%2F50104” target=”_blank”>
http://sunsolve.Sun.COM/pub-cgi/retrieve.pl?doc=fsalert%2F50104

补丁下载：

SPARC Platform

* Solaris 2.6 107336-02

* Solaris 7 107337-03

* Solaris 8 111400-02

* Solaris 9 114636-01

x86 Platform

* Solaris 2.6 107338-02

* Solaris 8 111401-02

* Solaris 7 107339-03

* Solaris 9 114637-01

来源:US-CERT Vulnerability Note: VU#850785
名称: VU#850785
链接:http://www.kb.cert.org/vuls/id/850785

来源: www.entercept.com
链接:http://www.entercept.com/news/uspr/01-22-03.asp

来源: XF
名称: solaris-kcms-directory-traversal(11129)
链接:http://xforce.iss.net/xforce/xfdb/11129

来源: BID
名称: 6665
链接:http://www.securityfocus.com/bid/6665

来源: SUNALERT
名称: 50104
链接:http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/50104

来源: BUGTRAQ
名称: 20030122 Entercept Ricochet Advisory: Sun Solaris KCMS Library Service Daemon Arbitrary File Retrieval Vulner
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=104326556329850&w=2

来源: US Government Resource: oval:org.mitre.oval:def:2592
名称: oval:org.mitre.oval:def:2592
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:2592

来源: US Government Resource: oval:org.mitre.oval:def:195
名称: oval:org.mitre.oval:def:195
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:195

来源: US Government Resource: oval:org.mitre.oval:def:120
名称: oval:org.mitre.oval:def:120
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:120