Oracle 8.1.5 For Linux安装漏洞

受影响系统： Oracle 8.1.5.0.1 for Linux/Intel 描述： Oracle 8.1.5.0.1 for Linux安装程序会创建/tmp/orainstall目录，它被oracle:dba拥有，权限设置为 711.在这个目录中它会创建一个名为orainstRoot.sh的shell脚本，它的权限是777.然后，安装程序会停止，并提示你以root身份运行这个脚本。这里存在的两个潜在的安全问题是： 1. 安装程序在往orainstRoot.sh写入的时候并不检查这个文件是否存在或是否是一个链接文件，甚至不检查它是否被oracle用户拥有。因此一个攻击者可能用这个弱点来在oracle用户的HOME目录下创建.rhosts或ssh/authorized_keys，进而获得对oracle帐号的控制权。 2。任何用户都可以往orainstRoot.sh添加命令，当root执行它的时候，这些命令就以 root身份被执行。 <* 来源: Keyser Soze （ksoze@OBSCURITY.ORG） *> 建议：在安装以前，手工创建orainstall目录并设置正确的权限： mkdir /tmp/orainstall chmod 700 /tmp/orainstall chown oracle:dba /tmp/orainstallLinux wmcdplay 缓冲区溢出漏洞RedHat Linux 6.0单用户方式认证漏洞相关资讯 Linux漏洞

敲击28次退格键之后：Linux漏洞可（12/18/2015 11:22:28）
Linux出现重大漏洞 GHOST ？（01/30/2015 18:35:07）
Linux 2.6.31本地代码执行漏洞（（07/07/2014 07:51:17）

Red Hat Linux 修补“libuser”库（07/26/2015 06:39:34）
红帽反驳：“Grinch（鬼精灵）”算（12/30/2014 07:38:23）
Linux gcc++漏洞：普通用户获得（08/16/2013 11:57:41）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论