IBM AIX FTP客户端本地溢出漏洞

涉及程序：
IBM AIX
 
描述：
IBM AIX FTP客户端本地溢出漏洞
 
详细：
IBM AIX是一款商业性质的UNIX操作系统。 网管联盟bitsCN_com

AIX FTP客户端程序实现上存在缓冲区溢出漏洞，本地攻击者可能利用此漏洞提升自己的权限。 网管联盟bitsCN@com

AIX操作系统中所捆绑的FTP程序没有正确地处理对gets()函数的调用。gets()函数用于将标准输入的数据读取到缓冲区，但没有指定所读入缓冲区的最大大小，因此可能导致多个溢出漏洞。FTP程序是以root用户权限运行的，任何本地用户都可以执行。至少有一个漏洞会导致可利用的栈溢出。

<*来源：iDEFENSE

链接：http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=571
*>

网管u家u.bitsCN.com

受影响系统：
IBM AIX 5.3
IBM AIX 5.2
 
 
攻击方法：
暂无有效攻击代码
 
解决方案：
临时解决方法： 网管u家u.bitscn@com

* 删除该二进制程序的setuid位。

厂商补丁： 中国网管论坛bbs.bitsCN.com

IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

网管网www_bitscn_com

http://www14.software.ibm.com/webapp/set2/abl/fixinfo?release=52&b=520_0-10-02
http://www14.software.ibm.com/webapp/set2/abl/fixinfo?release=53&b=530_0-06-02