Security Lab

Локальное повышение привилегий в mtools в программе mformat

Дата публикации:29.02.2004
Дата изменения:17.10.2006
Всего просмотров:1431
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: Mtools 3.9.9

Описание: Уязвимость обнаружена в mtools в программе mformat. Локальный пользователь может получить root привилегии на уязвимой системе.

Когда программа mformat установлена с set user id (setuid) root user привилегиями, локальный пользователь может использовать mformat чтобы создать любой файл с 0666 разрешениями.

Также, что приложение не сбрасывает привилегии при чтении локальных файлов конфигурации, так что локальный пользователь может просматривать произвольные файлы на системе.

Приложение установлено с setuid привилегиями на большинстве платнормах.

URL производителя: http://mtools.linux.lu/

Решение:Удалите setuid бит с уязвимого приложения.

Ссылки: Mtools