细水 2008.01.09

漏洞播报

Motorola netOctopus代理nantsys.sys驱动本地权限提升漏洞


发布日期:2008-01-07
更新日期:2008-01-08

受影响系统:

Motorola netOctopus 5.1.2 build 1011
Motorola netOctopus 5.1.2

描述:


BUGTRAQ  ID: 27175
CVE(CAN) ID: CVE-2007-5761

Motorola netOctopus是一个资产管理代理,用于从集中的控制台部署软件、监控性能和配置客户端机器。

netOctopus的驱动实现上存在漏洞,本地攻击者可能利用此漏洞提升自己的权限。

在客户端机器上所安装的netOctopus代理软件包含有nantsys.sys驱动,在每次系统启动时都会加载这个驱动,而这个驱动暴露了一个所有用户都可写的设备接口\\.\NantSys。nantsys.sys驱动允许读写任意CPU型号特定的寄存器(MSR),更改MSR值就会允许调节各种底层的CPU运算。本地攻击者可以通过修改SYSENTER_EIP_MSR在内核环境中执行任意指令。

<*来源:Stephen Fewer
  
  链接:http://www.netopia.com/support/software/technotes/netoctopus/Removing_the_nantsys_Driver.pdf
        http://secunia.com/advisories/28366/
        http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=636
*>

建议:


临时解决方法:

* 删除\\.\NantSys设备的Everyone组的写权限。

厂商补丁:

Motorola
——–
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.netopia.com/support/software/technotes/netoctopus/removeNantsys.vbs


您可以随意转载,但必须在显著位置标明 原创链接 和本 版权声明

本文链接: http://www.mcafeefans.com/?p=2318

发表评论

电子邮件地址不会被公开。

:wink: :twisted: :roll: :mrgreen: 8) :-D :arrow: :-o more »

返回页首返回页尾