FreeBSD ypserv 访问控制绕过漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1194752 漏洞类型 设计错误
发布时间 2006-06-01 更新时间 2006-06-01
CVE编号 CVE-2006-2655 CNNVD-ID CNNVD-200606-037
漏洞平台 N/A CVSS评分 6.4
|漏洞来源
https://www.securityfocus.com/bid/18204
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200606-037
|漏洞详情
FreeBSD就是一种运行在Intel平台上、可以自由使用的开放源码Unix类系统。FreeBSD的ypserv的访问控制实现上存在漏洞,远程攻击者可能利用此漏洞绕过访问控制。有两种记录的方法限制通过ypserv(8)对NIS映射的访问:通过使用/var/yp/securenets文件和/etc/hosts.allow文件。尽管服务程序中实现了这两种机制,但编译过程中的更改导致无意中禁用了securenets访问限制。ypserv(8)不会加载或处理/var/yp/securenets文件中所指定的任何网络或主机,导致这些访问控制失效。
|受影响的产品
FreeBSD FreeBSD 6.0 -STABLE FreeBSD FreeBSD 6.0 -RELEASE FreeBSD FreeBSD 5.4 -RELENG FreeBSD FreeBSD 5.4 -RELEASE FreeBSD FreeBSD 5.4 -PRERELEASE FreeBSD FreeBSD 5.3 -STABLE
|参考资料

来源:BID
名称:18204
链接:http://www.securityfocus.com/bid/18204
来源:FREEBSD
名称:FreeBSD-SA-06:15
链接:http://security.freebsd.org/advisories/FreeBSD-SA-06:15.ypserv.asc
来源:SECUNIA
名称:20389
链接:http://secunia.com/advisories/20389
来源:XF
名称:freebsd-ypserv-security-bypass(26792)
链接:http://xforce.iss.net/xforce/xfdb/26792
来源:OSVDB
名称:25852
链接:http://www.osvdb.org/25852
来源:SECTRACK
名称:1016193
链接:http://securitytracker.com/id?1016193