HP-UX vuefile, vuepad, dtfile, & dtpad 취약점과 대책
2019.06.09 02:20
설명
- 일반 사용자가 접근할 수 없는 디스플레이에 vuefile, vuepad, dtfile, 혹은 dtpad를 실행하여 그들의 계정으로 접근할 수 있다.
- vuefile, vuepad, dtfile, 그리고 dtpad는 사용자에 대한 인증 과정을 거치지 않는다. 따라서, 이러한 프로그램들은 X서버당 한명의 사용자만 수행해야 한다.
- 이 취약점은 일반 사용자가 접근할 수 없는 디스플레이에 vuefile, vuepad, dtfile, 혹은 dtpad를 실행하여 그들의 계정으로 접근할 수 있다.
해결책
- 슈퍼 유저이외의 다른 계정은 vuefile, vuepad, dtfile, dtpad 명령어를 실행 할 수 없도록 한다. 또한, 서로 다른 계정이 각각의 X서버에 로그인 되어 있다면, 다른 X서버에 대하여 display 설정을 하고, 이 명령어를 실행할 수 없도록 해야 한다.
- 사용자 허가를 위해서는 /usr/vue/config/Xconfig 파일을 다음과 같이 변경하라.
# To enable R4 MIT-MAGIC-COOKIE-1 per-user authorization
# Vuelogin*authorize: True