mntd本地用户任意命令执行漏洞

信息提供：	安全公告（或线索）提供热线：51cto.editor@gmail.com
漏洞类别：	本地用户任意命令执行漏洞
攻击类型：	本地攻击
发布日期：	2004-08-30
更新日期：	2004-08-31
受影响系统：	Mntd Mntd 0.4.1 Mntd Mntd 0.4.0 Mntd Mntd 0.3.5 Mntd Mntd 0.3.4
安全系统：	Mntd Mntd 0.4.2
漏洞报告人：	SecurityTracker
漏洞描述：	mntd是一款自动挂接设备的程序，如USB，CF卡等。 mntd在读取配置文件时缺少正确的输入检查，本地攻击者可以利用这个漏洞以mntd进程权限执行任意命令。软件在读取配置文件时不正确转义remount选项数据，本地用户可以修改配置文件使其包含特殊命令。当配置文件由mntd处理时，可导致以mntd进程权限执行任意命令。
测试方法：	无
解决方法：	目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： http://prdownloads.sourceforge.net/mntd/mntd-0.4.2.tar.gz?download http://prdownloads.sourceforge.net/mntd/mntd-0.4.2-ebuild.tar.gz?download