Повышение привилегий в ОС реального времени - Neutrino RTOS

12.11.2002 | 15:27
Компания iDEFENSE. обнаружила уязвимость в Neutrino RTOS - ОС реального времени, выпускаемой QNX Software Systems Ltd.

ОС применяется во встроенных (embedded) системах: сетевые маршрутизаторы, медицинское оборудование, интеллектуальные транспортные системы, системы безопасности, коммуникационное оборудование и т.д. В своём оборудовании эту ОС используют такие широкоизвестные фирмы, как Cisco, Delphi, Siemens, Alcatel, Texaco.

Уязвимость связана с тем, что приложение packager установлено с установленным битом полномочий SUID (изменение полномочий текущего пользователя на время выполнения программы до полномочий пользователя-хозяина (owner) программы - зачастую root). Кроме того, при запуске packager он не проверяет полного пути запускаемой программы, что позволяет провести атаку типа symlink и получить в системе полномочия суперпользователя.

Уязвимость обнаружена в QNX Neutrino RTOS 6.2.0. В качестве временной меры предлагается выполнить команду chmod -s 'which packager', а также обновиться до ОС версии 6.2.1, которая была выпущена в январе 2002 г.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://uinc.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код