製品・ソフトウェアに関する情報
Vulnerability Search
ppc64-diag における任意のファイルを上書きされる脆弱性
Title ppc64-diag における任意のファイルを上書きされる脆弱性
Summary

ppc64-diag には、以下のファイルおよびディレクトリに関する処理に不備があるため、任意のファイルを上書きされる脆弱性が存在します。 (1) rtas_errd/diag_support.c および /tmp/get_dt_files (2) scripts/ppc64_diag_mkrsrc および /tmp/diagSEsnap/snapH.tar.gz (3) lpd/test/lpd_ela_test.sh および /var/tmp/ras

Possible impacts ローカルユーザにより、シンボリックリンク攻撃を介して、任意のファイルを上書きされる可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date June 13, 2014, midnight
Registration Date June 19, 2014, 3:55 p.m.
Last Update Nov. 9, 2015, 4:16 p.m.
CVSS2.0 : 警告
Score 4.4
Vector AV:L/AC:M/Au:N/C:P/I:P/A:P
Affected System
ppc64-diag project
ppc64-diag 2.6.1
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2014年06月19日]
  掲載
[2015年06月08日]
  ベンダ情報:レッドハット (RHSA-2015:0383) を追加
[2015年11月09日]
  ベンダ情報:レッドハット (RHSA-2015:1320) を追加		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2014-4038
Summary

ppc64-diag 2.6.1 allows local users to overwrite arbitrary files via a symlink attack related to (1) rtas_errd/diag_support.c and /tmp/get_dt_files, (2) scripts/ppc64_diag_mkrsrc and /tmp/diagSEsnap/snapH.tar.gz, or (3) lpd/test/lpd_ela_test.sh and /var/tmp/ras.

Publication Date June 18, 2014, 12:55 a.m.
Registration Date Jan. 26, 2021, 3:11 p.m.
Last Update Nov. 21, 2024, 11:09 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:o:suse:linux_enterprise_server:11:sp3:*:*:*:*:*:*
Configuration2 or higher or less more than less than
cpe:2.3:a:ppc64-diag_project:ppc64-diag:2.6.1:*:*:*:*:*:*:*
Configuration3 or higher or less more than less than
cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List