Неавторизованное изменение данных в DjVuLibre

Дата публикации:
16.01.2015
Дата изменения:
16.01.2015
Всего просмотров:
709
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:L/AC:L/Au:N/C:P/I:C/A:N/E:U/RL:U/RC:C) = Base:5.6/Temporal:4.8
CVE ID:
Нет данных
Вектор эксплуатации:
Локальная
Воздействие:
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
DjVuLibre 3.x
Уязвимые версии:
DjVuLibre 3.5.25.4, возможно другие версии

Описание:

Уязвимость позволяет локальному пользователю манипулировать произвольными файлами.

Уязвимость существует из-за того, что приложение создает файл /tmp/dj$$.ps небезопасным образом. Локальный пользователь может с помощью символьных ссылок манипулировать произвольными файлами.


URL производителя: http://djvu.sourceforge.net/

Решение: Способов устранения уязвимости не существует в настоящий момент.

Ссылки: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=775193