站内公告      关于在天津市网站设置虚拟警察、治安岗亭的通知
您现在的位置: 天津市公安局公共信息网络安全监察总队 >> 安全动态 >> 安全动态正文
Motorola netOctopus代理nantsys.sys驱动本地权限提升漏洞
发布日期:2008-01-07
更新日期:2008-01-08

受影响系统:
Motorola netOctopus 5.1.2 build 1011
Motorola netOctopus 5.1.2
描述:
BUGTRAQ  ID: 27175
CVE(CAN) ID: CVE-2007-5761

Motorola netOctopus是一个资产管理代理,用于从集中的控制台部署软件、监控性能和配置客户端机器。

netOctopus的驱动实现上存在漏洞,本地攻击者可能利用此漏洞提升自己的权限。

在客户端机器上所安装的netOctopus代理软件包含有nantsys.sys驱动,在每次系统启动时都会加载这个驱动,而这个驱动暴露了一个所有用户都可写的设备接口\\.\NantSys。nantsys.sys驱动允许读写任意CPU型号特定的寄存器(MSR),更改MSR值就会允许调节各种底层的CPU运算。本地攻击者可以通过修改SYSENTER_EIP_MSR在内核环境中执行任意指令。

<*来源:Stephen Fewer
  
  链接:http://www.netopia.com/support/software/technotes/netoctopus/Removing_the_nantsys_Driver.pdf
        http://secunia.com/advisories/28366/
        http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=636
*>

建议:
临时解决方法:

* 删除\\.\NantSys设备的Everyone组的写权限。

厂商补丁:

Motorola
--------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.netopia.com/support/software/technotes/netoctopus/removeNantsys.vbs

浏览次数:15
严重程度:0
来源:绿盟科技

Copyright © 2007-2009 天津市公安局公共信息网络安全监察总队 版权所有
建议使用:1024*768分辨率,16Bit颜色、Netscape6.0、IE5.0以上版本浏览器
技术支持:天津克利斯科技有限公司