VULHUB ™

Frank McIngvale\'\'s LuxMan是一款基于LINUX下的游戏程序。 LuxMan执行gzip的时候没有使用全路径，本地攻击者可以利用这个漏洞建立包含恶意代码的命令为gzip的程序，通过修改路径环境变量，读写访问/dev/mem，造成权限提升。 LuxMan程序以suid属性安装，它在执行gzip的时候路径检查不够充分，本地攻击者如果建立一个名为gzip的木马或者恶意利用代码程序，并通过修改路径(PATH)环境变量，可导致复制/dev/mem内容到/tmp/mem文件中，攻击者可以查看文件内容获得部分密码字段，或者修改内核内存重新映射系统调用。

Frank McIngvale\'\'s LuxMan是一款基于LINUX下的游戏程序。 LuxMan执行gzip的时候没有使用全路径，本地攻击者可以利用这个漏洞建立包含恶意代码的命令为gzip的程序，通过修改路径环境变量，读写访问/dev/mem，造成权限提升。 LuxMan程序以suid属性安装，它在执行gzip的时候路径检查不够充分，本地攻击者如果建立一个名为gzip的木马或者恶意利用代码程序，并通过修改路径(PATH)环境变量，可导致复制/dev/mem内容到/tmp/mem文件中，攻击者可以查看文件内容获得部分密码字段，或者修改内核内存重新映射系统调用。