SUS本地格式串处理漏洞

漏洞信息详情

SUS本地格式串处理漏洞

• CNNVD编号：CNNVD-200412-328
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2004-1469
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2004-09-14
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2012-12-07
  
• 厂        商：
  
  peter_d._gray
• 漏洞来源：
  Leon Juranic※ ljur…

SUS是一个suid root程序，允许普通用户使用超级用户权限执行部分程序。

SUS 2.0.2版本和2.0.6之前的其他版本的log()函数存在格式串问题，本地攻击者可以利用这个漏洞以root用户权限执行任意指令。

厂商补丁：

Peter D. Gray

————-

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://pdg.uow.edu.au/sus/sus-2.0.6.tar.Z” target=”_blank”>

http://pdg.uow.edu.au/sus/sus-2.0.6.tar.Z

来源: BID

名称: 11176

链接:http://www.securityfocus.com/bid/11176

来源: GENTOO

名称: GLSA-200409-17

链接:http://www.gentoo.org/security/en/glsa/glsa-200409-17.xml

来源: security.lss.hr

链接:http://security.lss.hr/index.php?page=details&ID=LSS-2004-09-01

来源: BUGTRAQ

名称: 20040914 SUS 2.0.2 local root vulnerability

链接:http://marc.theaimsgroup.com/?l=bugtraq&m=109517782910407&w=2

来源: XF

名称: sus-log-format-string(17361)

链接:http://xforce.iss.net/xforce/xfdb/17361

来源: pdg.uow.edu.au

链接:http://pdg.uow.edu.au/sus/CHANGES

来源：NSFOCUS
名称：6919
链接：http://www.nsfocus.net/vulndb/6919