Security Lab

Небезопасные разрешения в конфигурации по умолчанию в Real Player

Дата публикации:12.09.2003
Всего просмотров:1099
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:

Уязвимые версии: RealOne Player for Linux 9.0

Описание: Уязвимость в конфигурации по умолчанию обнаружена в RealOne Player для Linux/UNIX систем. Локальный пользователь может получить поднятые привилегии.

Программа устанавливает пользовательские конфигурационные файлы пользователя с разрешениями на запись (0660) по умолчанию. Локальный пользователь в той же самой группе, что и целевой пользователь, может изменять файлы конфигурации RealOne целевого пользователя. В результате, локальный пользователь может получить привилегии целевого пользователя (например, изменяя путь, который RealOne player использует для доступа к общедоступным библиотекам к каталогу, содержащему некоторые злонамеренные общедоступные библиотеки).

Локальный пользователь может также просматривать информацию целевого пользователя о файлах, недавно просмотренных RealOne Player и другую персональную информацию.

Пример/Эксплоит: См. ниже

URL производителя:realforum.real.com/cgi-bin/unixplayer/showthreaded.pl?Cat=&Board=install2&Number=4513

Решение:

Способов устранения обнаруженной уязвимости не существует в настоящее время. В качестве временного решения, измените права на конфигурационные файлы:
`chmod 700 ~/.realnetworks/*`
Ссылки: RealOne Player local privilege escalation
Эксплоит