Util-Linux Login程序信息泄露漏洞

漏洞信息详情

Util-Linux Login程序信息泄露漏洞

• CNNVD编号：CNNVD-200403-027
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2004-0080
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2004-02-03
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-13
  
• 厂        商：
  
  andries_brouwer
• 漏洞来源：
  Matthew Lee

util-linux包包含各种低层系统工具实现Linux基本功能。
util-linux包含的login程序存在安全问题，远程攻击者可以利用这个漏洞获得部分敏感数据信息。
在部分条件下，login程序会使用释放的和重分配的指针，这可导致泄露敏感信息，目前没有详细漏洞细节提供。

厂商补丁：
RedHat
——
RedHat已经为此发布了一个安全公告(RHSA-2004:056-05)以及相应补丁:

RHSA-2004:056-05：Updated util-linux packages fix information leak

链接：https://www.redhat.com/support/errata/RHSA-2004-056.html” target=”_blank”>https://www.redhat.com/support/errata/RHSA-2004-056.html

Red Hat Enterprise Linux AS (v. 2.1)

——————————————————————————–

SRPMS:

util-linux-2.11f-20.4.src.rpm 00bd8ff344c54363b75ce441b0a19495

i386:

util-linux-2.11f-20.4.i386.rpm 6ce893d86080bbb506116766cbf4348a

ia64:

util-linux-2.11f-20.4.ia64.rpm e6cde0a5bd6d89dd8660a3fe83da5a9b

Red Hat Enterprise Linux ES (v. 2.1)

——————————————————————————–

SRPMS:

util-linux-2.11f-20.4.src.rpm 00bd8ff344c54363b75ce441b0a19495

i386:

util-linux-2.11f-20.4.i386.rpm 6ce893d86080bbb506116766cbf4348a

Red Hat Enterprise Linux WS (v. 2.1)

——————————————————————————–

SRPMS:

util-linux-2.11f-20.4.src.rpm 00bd8ff344c54363b75ce441b0a19495

i386:

util-linux-2.11f-20.4.i386.rpm 6ce893d86080bbb506116766cbf4348a

Red Hat Linux Advanced Workstation 2.1 for the Itanium Processor

——————————————————————————–

SRPMS:

util-linux-2.11f-20.4.src.rpm 00bd8ff344c54363b75ce441b0a19495

ia64:

util-linux-2.11f-20.4.ia64.rpm e6cde0a5bd6d89dd8660a3fe83da5a9b

用户可以使用up2date命令进行升级。
SGI
—
SGI已经为此发布了一个安全公告(20040201-01-U)以及相应补丁:

20040201-01-U：SGI Advanced Linux Environment security update #10

链接：ftp://patches.sgi.com/support/free/security/advisories/20040201-01-U

SGI ProPack 2.3:

SGI Patch patch10050.tar.gz

ftp://patches.sgi.com/support/free/security/patches/ProPack/2.3/patch10050.tar.gz

来源:US-CERT Vulnerability Note: VU#801526
名称: VU#801526
链接:http://www.kb.cert.org/vuls/id/801526

来源: REDHAT
名称: RHSA-2004:056
链接:http://www.redhat.com/support/errata/RHSA-2004-056.html

来源: BID
名称: 9558
链接:http://www.securityfocus.com/bid/9558

来源: XF
名称: utillinux-information-leak(15016)
链接:http://xforce.iss.net/xforce/xfdb/15016

来源: OSVDB
名称: 3796
链接:http://www.osvdb.org/3796

来源: GENTOO
名称: GLSA-200404-06
链接:http://security.gentoo.org/glsa/glsa-200404-06.xml

来源: SECUNIA
名称: 10773
链接:http://secunia.com/advisories/10773

来源: BUGTRAQ
名称: 20040408 LNSA-#2004-0010: login may leak sensitive data
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=108144719532385&w=2

来源: BUGTRAQ
名称: 20040331 OpenLinux: util-linux could leak sensitive data
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=108077689801698&w=2

来源: SGI
名称: 20040406-01-U
链接:ftp://patches.sgi.com/support/free/security/advisories/20040406-01-U

来源: SGI
名称: 20040201-01-U
链接:ftp://patches.sgi.com/support/free/security/advisories/20040201-01-U.asc