Неавторизованное изменение данных в elfutils

Дата публикации:
30.12.2014
Дата изменения:
30.12.2014
Всего просмотров:
914
Опасность:
Низкая
Наличие исправления:
Инстуркции по устранению
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:W/RC:C) = Base:4.3/Temporal:3.5
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
elfutils 0.x
Уязвимые версии:
elfutils 0.161, возможно другие версии

Описание:

Уязвимость позволяет удаленному пользователю манипулировать определенной информацией.

Уязвимость существует из-за ошибки в функции "read_long_names()" в файле libelf/elf_begin.c при обработке архивных фалйов. Удаленный пользователь может с помощью символов обхода каталога перезаписать произвольный файл на системе с привилегиями текущего пользователя.

Примечание: Для успешной эксплуатации уязвимости необходимо, чтобы жертва открыла специально сформированный архив.


URL производителя: https://fedorahosted.org/elfutils/

Решение: Установите исправление из репозитория исходного кода.

Ссылки: https://lists.fedorahosted.org/pipermail/elfutils-devel/2014-December/004499.html