Security Lab

Уязвимость символьных линков в Digital Unix MSGCHK MH_PROFILE

Дата публикации:10.09.2001
Дата изменения:17.10.2006
Всего просмотров:1198
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание:

Утилита Msgchk, поставляемая с некоторыми версиями Digital Unix содержит уязвимость раскрытия информации, которая может приводить к получению повышенных привелегий. Msgchk не в состоянии проверять разрешения файла перед открытием пользовательских файлов конфигурации в пользовательской домашней директории. В результате, пользователь может создавать символьную связь между .mh_profile файлом конфигурации и любым другим файлом. Поскольку msgchk выполняется как setuid root, то существует возможность прочитать любой файл на сервере.