Mehrere Schwachstellen in QNX Neutrino
Das Realtime Operating System Neutrino von QNX enthält mehrere Schwachstellen, über die am System angemeldete Benutzer ihre Rechte erhöhen oder das System zum Absturz bringen können.
Das Realtime Operating System Neutrino von QNX enthält mehrere Schwachstellen, über die am System angemeldete Benutzer ihre Rechte erhöhen oder das System zum Absturz bringen können. Über einige der Lücken ist QNX vom Sicherheitsdienstleister iDefense schon im Juni 2004 in Kenntnis gesetzt worden, hat aber bis jetzt nicht reagiert.
Insgesamt listet iDefense sieben Schwachstellen in Neutrino auf. Drei betreffen Neutrino RTOS 6.3.0 und ermöglichen das Ausweiten der eigenen Rechte, eine Lücke davon eignet sich zum Denial of Service gegen das System. Zwei Lücken betreffen Version 6.2.1 und frühere und erlauben ebenfalls das Ausführen von Code mit root-Rechten. Über die letzten beiden Schwachstellen in Neutrino RTOS 6.2.0 und älteren Fassungen können sich lokale Benutzer auch root-Privilegien aneignen.
Da QNX auf die Fehlermeldungen von iDefense nicht reagiert, stehen auch keine fehlerbereinigten Versionen des Bestriebssystems zur Verfügung. In den Sicherheitsmeldungen gibt iDefense aber Workarounds an, mit denen sich die Probleme temporär beheben lassen.
Siehe dazu auch: (dmk)
- QNX Neutrino RTOS libph PHOTON_PATH Buffer Overflow Vulnerability, Security Advisory von iDefense
- QNX Neutrino RTOS phfont Race Condition Vulnerability, Security Advisory von iDefense
- QNX Neutrino RTOS phgrafx Command Buffer Overflow, Security Advisory von iDefense
- QNX Neutrino RTOS su Command Buffer Overflow, Security Advisory von iDefense
- QNX RTOS 6.3.0 Local Denial of Service Vulnerability, Security Advisory von iDefense
- QNX RTOS 6.3.0 rc.local Insecure File Permissions Vulnerability, Security Advisory von iDefense
- QNX Neutrino RTOS passwd Command Buffer Overflow, Security Advisory von iDefense
