Манипуляция данными в Lynis
| Дата публикации: | 18.06.2014 |
| Всего просмотров: | 752 |
| Опасность: | Низкая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 2 |
| CVSSv2 рейтинг: | 2.1 (AV:L/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) 2.1 (AV:L/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) |
| CVE ID: |
CVE-2014-3982 CVE-2014-3986 |
| Вектор эксплуатации: | Локальная |
| Воздействие: | Неавторизованное изменение данных |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | Lynis 1.x |
|
Уязвимые версии: Lynis 1.5.4, возможно более ранние версии
Описание:
1. Приложение создает файлы в "/tmp/lynis.{PID}" небезопасным способом. Локальный пользователь может с помощью атак символических ссылок перезаписать произвольные файлы пользователя. 2. Приложение создает файлы в "/tmp/lynis.XXXXXX" небезопасным способом. Локальный пользователь может с помощью атак символических ссылок перезаписать произвольные файлы пользователя. URL производителя: http://cisofy.com/ Решение: Установите последнюю версию 1.5.5 или выше с сайта производителя. |
|
| Ссылки: |
http://linux-audit.com/lynis-security-notice-154-and-older/ http://www.openwall.com/lists/oss-security/2014/06/05/14 http://seclists.org/fulldisclosure/2014/Jun/21 |