Небезопасная обработка временных файлов в PatchLink Update

Дата публикации:
30.01.2008
Дата изменения:
07.04.2008
Всего просмотров:
1124
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Локальная
Воздействие:
Неавторизованное изменение данных
Повышение привилегий
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
PatchLink Update 6.x
Уязвимые версии: PatchLink Update 6.x

Описание:
Обнаруженные уязвимости позволяют локальному пользователю повысить свои привилегии на системе.

1. Уязвимость существует из-за того, что утилита "logtrimmer" использует небезопасным образом временный файл "/tmp/patchlink.tmp". Локальный пользователь может с помощью специально сформированной символической ссылки удалить содержимое произвольных файлов на системе.

2. Уязвимость существует из-за того, что сценарий "rebootTask" использует небезопасным образом временный файл "/tmp/plshutdown". Локальный пользователь может с помощью специально сформированной символической ссылки выполнить произвольные команды на системе с привилегиями пользователя root.

URL производителя: www.lumension.com/products.jsp

Решение: Установите последнюю версию с сайта производителя.

Журнал изменений:


07.04.2008
Изменена секция "Решение".

или введите имя

CAPTCHA