NVD Vulnerability Detail

CVE-2004-0452

Summary	Race condition in the rmtree function in the File::Path module in Perl 5.6.1 and 5.8.4 sets read/write permissions for the world, which allows local users to delete arbitrary files and directories, and possibly read files and directories, via a symlink attack.
Publication Date	Dec. 21, 2004, 2 p.m.
Registration Date	Jan. 29, 2021, 6 p.m.
Last Update	Oct. 11, 2017, 10:29 a.m.

CVSS2.0 : LOW
Score	2.6
Vector	AV:L/AC:H/Au:N/C:N/I:P/A:P
攻撃元区分(AV)	ローカル
攻撃条件の複雑さ(AC)	高
攻撃前の認証要否(Au)	不要
機密性への影響(C)	なし
完全性への影響(I)	低
可用性への影響(A)	低
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	いいえ

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:larry_wall:perl:5.6.1:::::::*
cpe:2.3:a:larry_wall:perl:5.8.4:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	ftp://patches.sgi.com/support/free/security/advisories/20060101-01-U	SGI
2	http://fedoranews.org/updates/FEDORA--.shtml	FEDORA
3	http://marc.info/?l=bugtraq&m=110547693019788&w=2	BUGTRAQ
4	http://secunia.com/advisories/12991	SECUNIA
5	http://secunia.com/advisories/18517	SECUNIA
6	http://secunia.com/advisories/55314	SECUNIA
7	http://www.debian.org/security/2004/dsa-620	DEBIAN	Patch Vendor Advisory
8	http://www.gentoo.org/security/en/glsa/glsa-200501-38.xml	GENTOO	Patch Vendor Advisory
9	http://www.redhat.com/support/errata/RHSA-2005-103.html	REDHAT	Patch Vendor Advisory
10	http://www.redhat.com/support/errata/RHSA-2005-105.html	REDHAT
11	http://www.securityfocus.com/bid/12072	BID
12	https://exchange.xforce.ibmcloud.com/vulnerabilities/18650	XF
13	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A9938	OVAL
14	https://www.ubuntu.com/usn/usn-44-1/	UBUNTU

Common Vulnerabilities List

JVN Vulnerability Information

Perl の rmtree() 関数における削除するファイルやディレクトリに対し不適切なパーミッション設定をしてしまう脆弱性

Title	Perl の rmtree() 関数における削除するファイルやディレクトリに対し不適切なパーミッション設定をしてしまう脆弱性
Summary	------------ 本脆弱性情報は、同時期に公開された複数の脆弱性について、まとめて解説したものです。タイトル以外の他の脆弱性情報の内容が含まれていますので予めご了承ください。 ------------ Perl は CGI の開発などに活用されているプログラミング言語です。Perl の File::Path モジュールにはディレクトリツリーを一括で削除する関数である rmtree() 関数が実装されています。 Perl 5.x に実装される File::Path モジュールでは、rmtree() 関数の処理において、以下の複数のセキュリティ上の問題が存在します。 1.削除するファイルやディレクトリに対し、セキュリティ上不適切なパーミッションを設定する問題 (CVE-2004-0452) 2.ディレクトリを削除するための前処理としてディレクトリのパーミッションを変更する際に競合状態が発生し、ディレクトリ内に任意のファイルへのシンボリックリンクが作成されてしまう問題 (CVE-2005-0448) これらの問題を利用するローカルの攻撃者は、結果として本来アクセス権のないファイルやディレクトリを削除する、あるいはシンボリックリンク攻撃を試み任意のファイルやディレクトリのパーミッションを変更することが可能です。
Possible impacts	本脆弱性に伴う影響については、「概要」をご参照ください。
Solution	ベンダ情報及び参考情報を参照して適切な対策を実施してください。
Publication Date	Feb. 14, 2005, midnight
Registration Date	April 1, 2007, midnight
Last Update	Nov. 1, 2013, 2 p.m.

Affected System

レッドハット

Red Hat Enterprise Linux 2.1 (as)

Red Hat Enterprise Linux 2.1 (es)

Red Hat Enterprise Linux 2.1 (ws)

Red Hat Enterprise Linux 3 (as)

Red Hat Enterprise Linux 3 (es)

Red Hat Enterprise Linux 3 (ws)

Red Hat Enterprise Linux 4 (as)

Red Hat Enterprise Linux 4 (es)

Red Hat Enterprise Linux 4 (ws)

ヒューレット・パッカード

HP-UX 11.00

HP-UX 11.11

HP-UX 11.23

ターボリナックス

Turbolinux Server 10

Turbolinux Server 7

Turbolinux Server 8

サイバートラスト株式会社

Asianux Server 2.0

Asianux Server 2.1

Asianux Server 3.0

Asianux Server 3.0 (x86-64)

Asianux Server 4.0

Asianux Server 4.0 (x86-64)

The Perl Foundation

Perl 5.8.6 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2004-0452	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0452
National Vulnerability Database (NVD)
2	CVE-2004-0452	http://nvd.nist.gov/nvd.cfm?cvename=CVE-2004-0452

ベンダー情報

No	Name	URL
HP Security Bulletin
1	HPSBUX01208	http://www1.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX01208
HP セキュリティ報告
2	HPSBUX01208	http://h50221.www5.hp.com/upassist/itrc_japan/assist2/secbltn/HP-UX/HPSBUX01208.html
MIRACLE LINUX アップデート情報
3	AXSA-2005-97:1	http://www.miraclelinux.com/support/update/list.php?errata_id=222
4	AXSA-2006-5:1	http://www.miraclelinux.com/support/update/list.php?errata_id=309
Red Hat Security Advisory
5	RHSA-2005:103	https://rhn.redhat.com/errata/RHSA-2005-103.html
6	RHSA-2005:674	https://rhn.redhat.com/errata/RHSA-2005-674.html
7	RHSA-2005:881	https://rhn.redhat.com/errata/RHSA-2005-881.html
SECURITY BLOG
8	Multiple vulnerabilities in Perl 5.8	https://blogs.oracle.com/sunsecurity/entry/multiple_vulnerabilities_in_perl_5
The Perl Foundation
9	Top Page	http://www.perlfoundation.org/
Turbolinux Security Advisory (英語)
10	TLSA-2005-35	http://www.turbolinux.com/security/2005/TLSA-2005-35.txt
11	TLSA-2005-45	http://www.turbolinux.com/security/2005/TLSA-2005-45.txt
レッドハットセキュリティーアップデート
12	RHSA-2005:103	http://www.jp.redhat.com/support/errata/RHSA/RHSA-2005-103J.html
13	RHSA-2005:674	http://www.jp.redhat.com/support/errata/RHSA/RHSA-2005-674J.html
14	RHSA-2005:881	http://www.jp.redhat.com/support/errata/RHSA/RHSA-2005-881J.html
製品セキュリティ情報
15	TLSA-2005-35	http://www.turbolinux.co.jp/security/2005/TLSA-2005-35j.txt
16	TLSA-2005-45	http://www.turbolinux.co.jp/security/2005/TLSA-2005-45j.txt

その他

No	Name	URL
ISS X-Force Database
1	18650	http://xforce.iss.net/xforce/xfdb/18650
Secunia Advisory
2	SA13643	http://secunia.com/advisories/13643/
3	SA14531	http://secunia.com/advisories/14531/
SecurityFocus
4	12072	http://www.securityfocus.com/bid/12072
5	12767	http://www.securityfocus.com/bid/12767
SecurityTracker
6	1014213	http://securitytracker.com/alerts/2005/Jun/1014213.html

Change Log

No	Changed Details	Date of change
0	[2007年04月01日] 掲載 [2013年11月01日] ベンダ情報：オラクル (Multiple vulnerabilities in Perl 5.8) を追加	Feb. 17, 2018, 10:37 a.m.