CVE-2002-0632
CVSS5.0
发布时间 :2002-09-05 00:00:00
修订时间 :2008-09-10 15:12:36
NMCOS    

[原文]Vulnerability in SGI BDS (Bulk Data Service) BDSPro 2.4 and earlier allows clients to read arbitrary files on a BDS server.


[CNNVD]SGI Bulk Data Services远程文件读取漏洞(CNNVD-200209-013)

        
        SGI Bulk Data Service(BDS)是一个NFS扩展,它专门用来在高速网络(例如千兆网络)中进行大文件传输。
        SGI BDSpro 2.4存在一个安全漏洞,在某些情况下允许客户端读取BDS所在服务器中的任意文件。这可能向攻击者泄漏系统的敏感信息,例如口令文件。攻击者可能利用这个漏洞获取对BDS所在系统的未授权访问。
        BDS是SGI IRIX缺省不安装的可选组件。
        

- CVSS (基础分值)

CVSS分值: 5 [中等(MEDIUM)]
机密性影响: PARTIAL [很可能造成信息泄露]
完整性影响: NONE [不会对系统完整性产生影响]
可用性影响: NONE [对系统可用性无影响]
攻击复杂度: LOW [漏洞利用没有访问限制 ]
攻击向量: [--]
身份认证: NONE [漏洞利用无需身份认证]

- CPE (受影响的平台与产品)

cpe:/o:sgi:irix:6.5.8SGI IRIX 6.5.8
cpe:/o:sgi:irix:6.5.6SGI IRIX 6.5.6
cpe:/o:sgi:irix:6.5SGI IRIX 6.5
cpe:/o:sgi:irix:6.5.13SGI IRIX 6.5.13
cpe:/o:sgi:irix:6.5.15SGI IRIX 6.5.15
cpe:/o:sgi:irix:6.5.7SGI IRIX 6.5.7
cpe:/o:sgi:irix:6.5.14SGI IRIX 6.5.14
cpe:/o:sgi:irix:6.5.5SGI IRIX 6.5.5
cpe:/o:sgi:irix:6.5.4SGI IRIX 6.5.4
cpe:/o:sgi:irix:6.5.10SGI IRIX 6.5.10
cpe:/o:sgi:irix:6.5.11SGI IRIX 6.5.11
cpe:/o:sgi:irix:6.5.1SGI IRIX 6.5.1
cpe:/o:sgi:irix:6.5.3SGI IRIX 6.5.3
cpe:/o:sgi:irix:6.5.16SGI IRIX 6.5.16
cpe:/o:sgi:irix:6.5.9SGI IRIX 6.5.9
cpe:/o:sgi:irix:6.5.2SGI IRIX 6.5.2
cpe:/o:sgi:irix:6.5.12SGI IRIX 6.5.12

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-0632
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2002-0632
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200209-013
(官方数据源) CNNVD

- 其它链接及资源

http://www.securityfocus.com/bid/5448
(UNKNOWN)  BID  5448
http://www.iss.net/security_center/static/9825.php
(UNKNOWN)  XF  irix-bds-unauth-access(9825)
ftp://patches.sgi.com/support/free/security/advisories/20020804-01-P
(UNKNOWN)  SGI  20020804-01-P
http://www.osvdb.org/11081
(UNKNOWN)  OSVDB  11081

- 漏洞信息

SGI Bulk Data Services远程文件读取漏洞
中危 访问验证错误
2002-09-05 00:00:00 2005-10-20 00:00:00
远程  
        
        SGI Bulk Data Service(BDS)是一个NFS扩展,它专门用来在高速网络(例如千兆网络)中进行大文件传输。
        SGI BDSpro 2.4存在一个安全漏洞,在某些情况下允许客户端读取BDS所在服务器中的任意文件。这可能向攻击者泄漏系统的敏感信息,例如口令文件。攻击者可能利用这个漏洞获取对BDS所在系统的未授权访问。
        BDS是SGI IRIX缺省不安装的可选组件。
        

- 公告与补丁

        厂商补丁:
        SGI
        ---
        SGI已经为此发布了一个安全公告(20020804-01-P)以及相应补丁:
        20020804-01-P:Bulk Data Services (BDS) vulnerability
        链接:ftp://patches.sgi.com/support/free/security/advisories/20020804-01-P
        补丁下载:
        SGI已为这些漏洞提供了安装补丁。本补丁依赖IRIX 6.5.13及以后版本中使用的kernel中的hook来修复这些漏洞。SGI建议用户安装本补丁或在BDSPro 2.5及此后版本发布后进行升级(在IRIX 6.5.13+系统中)。
         OS Version Vulnerable? Patch # Other Actions
         ---------- ----------- ------- -------------
         IRIX 3.x unknown Note 1
         IRIX 4.x unknown Note 1
         IRIX 5.x unknown Note 1
         IRIX 6.0.x unknown Note 1
         IRIX 6.1 unknown Note 1
         IRIX 6.2 unknown Note 1
         IRIX 6.3 unknown Note 1
         IRIX 6.4 unknown Note 1
         IRIX 6.5 yes Notes 2 & 3
         IRIX 6.5.1 yes Notes 2 & 3
         IRIX 6.5.2 yes Notes 2 & 3
         IRIX 6.5.3 yes Notes 2 & 3
         IRIX 6.5.4 yes Notes 2 & 3
         IRIX 6.5.5 yes Notes 2 & 3
         IRIX 6.5.6 yes Notes 2 & 3
         IRIX 6.5.7 yes Notes 2 & 3
         IRIX 6.5.8 yes Notes 2 & 3
         IRIX 6.5.9 yes Notes 2 & 3
         IRIX 6.5.10 yes Notes 2 & 3
         IRIX 6.5.11 yes Notes 2 & 3
         IRIX 6.5.12 yes Notes 2 & 3
         IRIX 6.5.13 yes 4713 Notes 2 & 3
         IRIX 6.5.14 yes 4713 Notes 2 & 3
         IRIX 6.5.15 yes 4713 Notes 2 & 3
         IRIX 6.5.16 yes 4713 Notes 2 & 3
         注:
         1) 这一版本的IRIX操作系统已被淘汰。请升级到仍受支持的IRIX操作系统。
         详情请见
        http://support.sgi.com/irix/news/index.html#policy

         2) 如果你还没收到IRIX 6.5.X CD for IRIX 6.5,请与你的SGI服务商联系,
         或访问
        http://support.sgi.com/irix/swupdates/

         3) 升级到含有BDSPro 2.4和4713补丁的IRIX 6.5.13或此后版本,或在BDSPro
         2.5发布后升级到该版本。
         ##### Patch File Checksums ####
        真实的补丁应为一个含有下列文件的tar文件:
        Filename: README.patch.4713
        Algorithm #1 (sum -r): 63358 8 README.patch.4713
        Algorithm #2 (sum): 46581 8 README.patch.4713
        MD5 checksum: BB34943B63D677A72ECFF0CB4362B23E
        Filename: patchSG0004713
        Algorithm #1 (sum -r): 22226 1 patchSG0004713
        Algorithm #2 (sum): 34070 1 patchSG0004713
        MD5 checksum: 75FC332B07C75319987F4004DBBD5757
        Filename: patchSG0004713.bds_eoe
        Algorithm #1 (sum -r): 16577 190 patchSG0004713.bds_eoe
        Algorithm #2 (sum): 50484 190 patchSG0004713.bds_eoe
        MD5 checksum: 75AA1C002E24BA2C771093CB36BC4E55
        Filename: patchSG0004713.idb
        Algorithm #1 (sum -r):  

- 漏洞信息

11081
IRIX Bulk Data Service BDSPro Arbitrary File Access
Remote / Network Access Attack Type Unknown
Loss of Confidentiality

- 漏洞描述

IRIX contains a flaw that may lead to an unauthorized information disclosure. The issue is triggered when a malicious attacker uses the Bulk Data Service (BDS) to read arbitrary system files, resulting in a loss of confidentiality.

- 时间线

2002-08-12 Unknow
Unknow Unknow

- 解决方案

Upgrade to version 6.5.17 or higher, as it has been reported to fix this vulnerability. In addition, Silicon Graphics, Inc. has released a patch for some older versions.

- 相关参考

- 漏洞作者

- 漏洞信息

SGI Irix Bulk Data Services Arbitrary File Disclosure Vulnerability
Access Validation Error 5448
Yes No
2002-08-12 12:00:00 2009-07-11 03:56:00
Credit is given to Sandia Labs.

- 受影响的程序版本

SGI IRIX 6.5.16
SGI IRIX 6.5.15
SGI IRIX 6.5.14
SGI IRIX 6.5.13
SGI IRIX 6.5.12
SGI IRIX 6.5.11
SGI IRIX 6.5.10
SGI IRIX 6.5.9
SGI IRIX 6.5.8
SGI IRIX 6.5.7
SGI IRIX 6.5.6
SGI IRIX 6.5.5
SGI IRIX 6.5.4
SGI IRIX 6.5.3
SGI IRIX 6.5.2
SGI IRIX 6.5.1
SGI IRIX 6.5

- 漏洞讨论

SGI Bulk Data Service (BDS) is a NFS extension available for the Irix operating system.

A vulnerability has been reported in some versions of the Bulk Data Service. It may be possible for a client application to gain read access to arbitrary files on the vulnerable system.

- 漏洞利用

Currently we are not aware of any exploits for this issue. If you feel we are in error or are aware of more recent information, please mail us at: vuldb@securityfocus.com <mailto:vuldb@securityfocus.com>.

- 解决方案

SGI has reported that this issue will be resolved in BSDPro 2.5 in the near future.

Patches are available:


SGI IRIX 6.5.13

SGI IRIX 6.5.14

SGI IRIX 6.5.15

SGI IRIX 6.5.16

- 相关参考

     

     

    关于SCAP中文社区

    SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

    版权声明

    CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站