Выполнение произвольных команд в Phystech dhcpcd

Дата публикации:
22.11.2002
Всего просмотров:
674
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание:

При назначении IP адреса сетевому интерфейсу, dhcpcd может выполнить внешний сценарий, '/sbin/dhcpd-<interface>.exe'. Этот сценарий - дополнительная конфигурация, которая должна быть установлена вручную на Conectiva системах (другие не подтверждены), копируя сценарий в /sbin/.

Сценарий 'dhcpcd-<interface>.exe' использует значения от '/var/lib/dhcpcd/dhcpcd-<interface>.info', который происходит от DHCP сервера. Недостаток при проверке правильности этих данных, позволяет злонамеренному DHCP серверу внедрять произвольные команды, которые будут выполнены используя метасимволы оболочки, типа ';' и '|'. Эти команды будут выполнены с root привилегиями.

Уязвимость обнаружена в Phystech dhcpcd 1.3.22 -pl1

или введите имя

CAPTCHA