RedHat useradd邮箱存储文件权限设置漏洞

漏洞信息详情

RedHat useradd邮箱存储文件权限设置漏洞

• CNNVD编号：CNNVD-200303-012
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2002-1509
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2003-02-20
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2005-05-13
  
• 厂        商：
  
  redhat
• 漏洞来源：
  Red Hat Security A…

shadow-utils工具包含了一些转换UNIX密码文件为shadow密码格式的文件，还有管理用户和组帐户的程序，其中之一就是useradd程序用于建立或更新新用户信息。
RedHat包含的useradd建立邮箱文件时设置权限不正确，本地攻击者可以利用这个漏洞读和写其他用户邮件文件。
当建议用户帐户时，RedHat Linux 7.2、7.3和8.0包含的useradd不正确设置邮箱文件组权限，本来应该设置此文件的组属组为\’\’mail\’\’组，而useradd设置为用户相关的组，因此如果攻击与其他用户同属一组的情况下，可允许访问不同用户的邮箱。

厂商补丁：
RedHat
——
RedHat已经为此发布了一个安全公告(RHSA-2003:057-06)以及相应补丁:

RHSA-2003:057-06：Updated shadow-utils packages fix exposure

链接：https://www.redhat.com/support/errata/RHSA-2003-057.html” target=”_blank”>https://www.redhat.com/support/errata/RHSA-2003-057.html

补丁下载：

Red Hat Linux 7.2:

SRPMS:

ftp://updates.redhat.com/7.2/en/os/SRPMS/shadow-utils-20000902-9.7.src.rpm

i386:

ftp://updates.redhat.com/7.2/en/os/i386/shadow-utils-20000902-9.7.i386.rpm

ia64:

ftp://updates.redhat.com/7.2/en/os/ia64/shadow-utils-20000902-9.7.ia64.rpm

Red Hat Linux 7.3:

SRPMS:

ftp://updates.redhat.com/7.3/en/os/SRPMS/shadow-utils-20000902-9.7.src.rpm

i386:

ftp://updates.redhat.com/7.3/en/os/i386/shadow-utils-20000902-9.7.i386.rpm

Red Hat Linux 8.0:

SRPMS:

ftp://updates.redhat.com/8.0/en/os/SRPMS/shadow-utils-20000902-12.8.src.rpm

i386:

ftp://updates.redhat.com/8.0/en/os/i386/shadow-utils-20000902-12.8.i386.rpm

可使用下列命令安装补丁：

rpm -Fvh [文件名]

来源: bugzilla.redhat.com
链接:http://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=75418

来源: REDHAT
名称: RHSA-2003:058
链接:http://www.redhat.com/support/errata/RHSA-2003-058.html

来源: REDHAT
名称: RHSA-2003:057
链接:http://www.redhat.com/support/errata/RHSA-2003-057.html

来源: MANDRAKE
名称: MDKSA-2003:026
链接:http://www.mandrakesoft.com/security/advisories?name=MDKSA-2003:026