製品・ソフトウェアに関する情報

JVN脆弱性詳細

GNU Project Debugger における権限を取得される脆弱性

Title	GNU Project Debugger における権限を取得される脆弱性
Summary	GNU Project Debugger (GDB) は、".debug_gdb_scripts" が定義された場合、カレントワーキングディレクトリより特定のファイルを自動的にロードするため、権限を取得される脆弱性が存在します。
Possible impacts	ローカルユーザにより、Python スクリプトのような巧妙に細工されたファイルを介して、権限を取得される可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	March 5, 2013, midnight
Registration Date	March 7, 2013, 6:58 p.m.
Last Update	March 7, 2013, 6:58 p.m.

Affected System

GNU Project

GNU GDB 7.5 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-4355	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4355
National Vulnerability Database (NVD)
2	CVE-2011-4355	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-4355

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	Name	URL
GDB
1	Doug Evans - Re: [RFA] Add $pdir as entry for libthread-db-search-path.	http://sourceware.org/ml/gdb-patches/2011-04/msg00559.html
2	Revision 1.570	http://sourceware.org/cgi-bin/cvsweb.cgi/~checkout~/src/gdb/NEWS?content-type=text/x-cvsweb-markup&cvsroot=src
3	Tom Tromey - Re: [RFA] Add $pdir as entry for libthread-db-search-path.	http://sourceware.org/ml/gdb-patches/2011-05/msg00202.html
4	Top Page	http://www.gnu.org/software/gdb/
Red Hat Security Advisory
5	RHSA-2013:0522	http://rhn.redhat.com/errata/RHSA-2013-0522.html

Change Log

No	Changed Details	Date of change
0	[2013年03月07日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2011-4355

Summary	GNU Project Debugger (GDB) before 7.5, when .debug_gdb_scripts is defined, automatically loads certain files from the current working directory, which allows local users to gain privileges via crafted files such as Python scripts.
Publication Date	March 6, 2013, 6:38 a.m.
Registration Date	Jan. 28, 2021, 4:39 p.m.
Last Update	Nov. 21, 2024, 10:32 a.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource	タグ
1	http://rhn.redhat.com/errata/RHSA-2013-0522.html
2	http://sourceware.org/cgi-bin/cvsweb.cgi/~checkout~/src/gdb/NEWS?content-type=text/x-cvsweb-markup&cvsroot=src
3	http://sourceware.org/ml/gdb-patches/2011-04/msg00559.html
4	http://sourceware.org/ml/gdb-patches/2011-05/msg00202.html
5	http://www.securitytracker.com/id/1028191
6	http://rhn.redhat.com/errata/RHSA-2013-0522.html
7	http://www.securitytracker.com/id/1028191
8	http://sourceware.org/ml/gdb-patches/2011-05/msg00202.html
9	http://sourceware.org/ml/gdb-patches/2011-04/msg00559.html
10	http://sourceware.org/cgi-bin/cvsweb.cgi/~checkout~/src/gdb/NEWS?content-type=text/x-cvsweb-markup&cvsroot=src

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html