Манипуляция данными в Lynis

Дата публикации:
18.06.2014
Дата изменения:
18.06.2014
Всего просмотров:
431
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
2
CVSSv2 рейтинг:
(AV:L/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:2.1/Temporal:1.6
(AV:L/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:2.1/Temporal:1.6
CVE ID:
CVE-2014-3982
CVE-2014-3986
Вектор эксплуатации:
Локальная
Воздействие:
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Lynis 1.x
Уязвимые версии: Lynis 1.5.4, возможно более ранние версии

Описание:
Уязвимость позволяет локальному пользователю манипулировать определенными важными данными.

1. Приложение создает файлы в "/tmp/lynis.{PID}" небезопасным способом. Локальный пользователь может с помощью атак символических ссылок перезаписать произвольные файлы пользователя.
Примечание: Это влияет только на сборки, работающие на AIX.

2. Приложение создает файлы в "/tmp/lynis.XXXXXX" небезопасным способом. Локальный пользователь может с помощью атак символических ссылок перезаписать произвольные файлы пользователя.

URL производителя: http://cisofy.com/

Решение: Установите последнюю версию 1.5.5 или выше с сайта производителя.

Ссылки: http://linux-audit.com/lynis-security-notice-154-and-older/
http://www.openwall.com/lists/oss-security/2014/06/05/14
http://seclists.org/fulldisclosure/2014/Jun/21

или введите имя

CAPTCHA