HP-UX vuefile, vuepad, dtfile, & dtpad 취약점과 대책

Security Notice

HP-UX vuefile, vuepad, dtfile, & dtpad 취약점과 대책

설명

  • 일반 사용자가 접근할 수 없는 디스플레이에 vuefile, vuepad, dtfile, 혹은 dtpad를 실행하여 그들의 계정으로 접근할 수 있다.
  • vuefile, vuepad, dtfile, 그리고 dtpad는 사용자에 대한 인증 과정을 거치지 않는다. 따라서, 이러한 프로그램들은 X서버당 한명의 사용자만 수행해야 한다.
  • 이 취약점은 일반 사용자가 접근할 수 없는 디스플레이에 vuefile, vuepad, dtfile, 혹은 dtpad를 실행하여 그들의 계정으로 접근할 수 있다.

해결책

  • 슈퍼 유저이외의 다른 계정은 vuefile, vuepad, dtfile, dtpad 명령어를 실행 할 수 없도록 한다. 또한, 서로 다른 계정이 각각의 X서버에 로그인 되어 있다면, 다른 X서버에 대하여 display 설정을 하고, 이 명령어를 실행할 수 없도록 해야 한다.
  • 사용자 허가를 위해서는 /usr/vue/config/Xconfig 파일을 다음과 같이 변경하라.
    # To enable R4 MIT-MAGIC-COOKIE-1 per-user authorization
    # Vuelogin*authorize: True
0 변경된 사항