製品・ソフトウェアに関する情報
Vulnerability Search
pWhois Layer Four Traceroute に権限昇格の脆弱性
Title pWhois Layer Four Traceroute に権限昇格の脆弱性
Summary

pWhois Layer Four Traceroute には、コマンドライン引数の解析処理に起因する権限昇格の脆弱性が存在します。 なお、Layer Four Traceroute を同梱して配布しているディストリビューションでも、 ”lft” バイナリを SETUID root しないものは、本脆弱性の影響を受けないとのことです。

Possible impacts Layer Four Traceroute が SETUID root されている場合、ローカルユーザが root 権限を取得する可能性があります。
Solution

[アップデートする] 開発者が提供する情報をもとに Layer Four Traceroute 3.3 以降 にアップデートしてください。 [ワークアラウンド] 以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 * Layer Four Traceroute を SETUID root しない
Publication Date April 5, 2011, midnight
Registration Date April 28, 2011, 3:18 p.m.
Last Update April 28, 2011, 3:18 p.m.
CVSS2.0 : 危険
Score 7.2
Vector AV:L/AC:L/Au:N/C:C/I:C/A:C
Affected System
Prefix WhoIs Project
Layer Four Traceroute 3.3 より前のバージョン
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
その他
Change Log
No Changed Details Date of change
0 [2011年04月28日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2011-0765
Summary

Unspecified vulnerability in lft in pWhois Layer Four Traceroute (LFT) 3.x before 3.3 allows local users to gain privileges via a crafted command line.

Publication Date April 10, 2011, 11:55 a.m.
Registration Date Jan. 28, 2021, 4:37 p.m.
Last Update Nov. 21, 2024, 10:24 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:pwhois:layer_four_traceroute:3.2:*:*:*:*:*:*:*
cpe:2.3:a:pwhois:layer_four_traceroute:3.0:*:*:*:*:*:*:*
cpe:2.3:a:pwhois:layer_four_traceroute:3.1:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List