Удаленный отказ в обслуживании и небезопасное создание временных файлов в utempter

Дата публикации:
21.04.2004
Всего просмотров:
1155
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: utempter

Описание: Несколько уязвимостей обнаружено в utempter. Локальный пользователь может получить root привилегии или аварийно завершить работу процесса.

Mandrake сообщает о нескольких потенциальных проблемах безопасности в utempter. Локальный пользователь может вызвать utempter с путем к устройству, содержащим некоторые строки ('/../', '/./', или '//'), чтобы аварийно завершить работу программы.

Также локальный пользователь может сконструировать символьную ссылку из критического файла на системе к удаленному устройству (например '/dev/../tmp/tty0'), чтобы заставить utempter перезаписать ссылающийся файл с root привилегиями.

Решение:Исправление существует пока только для Mandrake Linux.

Ссылки: CAN-2004-0233

или введите имя

CAPTCHA