Обход ограничений в fcron

Дата публикации:
17.11.2004
Дата изменения:
16.10.2006
Всего просмотров:
1079
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: fcron версии до 2.0.2

Описание:
Обнаружена уязвимость в fcron. Локальный атакующий может изменить настройки приложения, просматривать и удалять произвольные файлы на уязвимой системе.

Локальный атакующий может с помощью сценария fcronsighup просматривать произвольные файлы на уязвимой системе с привилегиями root. Локальный атакующий может в качестве конфигурационного файла для fcronsighup указать произвольный файл, который будет обработан утилитой и все строки, которые не смогут быть преобразованы во внутренние команды, будут выведены на экран. Пример:

fcronsighup /etc/shadow

Локальный атакующий может напрвить конфигурационный файл fcronsighup в /proc, чтобы изменить конфигурационные настройки службы.

Локальный атакующий может удалять произвольные файлы на системе.

Локальный атакующий может просмотреть содержимое файлов 'fcron.allow' и 'fcron.deny' из-за ошибке в дескрипторе приложения.

URL производителя: http://fcron.free.fr/

Решение: Установите новую версию
http://fcron.free.fr/archives/fcron-2.0.2.src.tar.gz

или обновление:
http://fcron.free.fr/archives/fcron-2.9.5.1.src.tar.gz

Ссылки: Multiple Security Vulnerabilities in Fcron

или введите имя

CAPTCHA