• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Повышение привилегий

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:H/Au:N/C:C/I:C/A:C)
Производитель ПО
HP
Наименование ПО
HP-UX (B.11.11 ia64, B.11.11 pa-sparc)
Описание
WU-FTPD позволяет пользователю войти в систему, даже если в файле passwd(4) нет соответствующей записи. Пользователь получает права администратора.
Данная уязвимость возникает, когда LDAP используется для pam(3)-аутентификации, и файл nsswitch.conf(4) не содержит 'ldap' как источник для базы данных 'passwd' .
Когда клиент пытается выполнить FTP LOGIN как пользователь, включенный в LDAP-каталог, и FTP-сервер некорректно настроен (), то можно пройти pam-авторизацию (), но getpwnam(3C) не сможет получить данные пользователя (). В этом случае пользователь получает права администратора.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://xforce.iss.net/xforce/xfdb/44414
Ссылки
BID (30666): http://www.securityfocus.com/bid/30666
XF (hpux-ftpd-security-bypass(44414)): http://xforce.iss.net/xforce/xfdb/44414