NVD Vulnerability Detail
Search Exploit, PoC
CVE-2008-0525
Summary

PatchLink Update client for Unix, as used by Novell ZENworks Patch Management Update Agent for Linux/Unix/Mac (LUM) 6.2094 through 6.4102 and other products, allows local users to (1) truncate arbitrary files via a symlink attack on the /tmp/patchlink.tmp file used by the logtrimmer script, and (2) execute arbitrary code via a symlink attack on the /tmp/plshutdown file used by the rebootTask script.

Publication Date Feb. 1, 2008, 5 a.m.
Registration Date Jan. 29, 2021, 1:31 p.m.
Last Update Oct. 16, 2018, 7 a.m.
CVSS2.0 : MEDIUM
Score 4.6
Vector AV:L/AC:L/Au:N/C:P/I:P/A:P
攻撃元区分(AV) ローカル
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
Get all privileges. いいえ
Get user privileges いいえ
Get other privileges はい
User operation required いいえ
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:lumension_security:patchlink_update:6.2:*:linux:*:*:*:*:*
cpe:2.3:a:lumension_security:patchlink_update:6.2:*:mac:*:*:*:*:*
cpe:2.3:a:lumension_security:patchlink_update:6.2:*:unix:*:*:*:*:*
cpe:2.3:a:lumension_security:patchlink_update:6.3:*:linux:*:*:*:*:*
cpe:2.3:a:lumension_security:patchlink_update:6.3:*:mac:*:*:*:*:*
cpe:2.3:a:lumension_security:patchlink_update:6.3:*:unix:*:*:*:*:*
cpe:2.3:a:lumension_security:patchlink_update:6.4:*:linux:*:*:*:*:*
cpe:2.3:a:lumension_security:patchlink_update:6.4:*:mac:*:*:*:*:*
cpe:2.3:a:lumension_security:patchlink_update:6.4:*:unix:*:*:*:*:*
cpe:2.3:a:novell:zenworks_patch_management_update_agent:6.2:*:linux:*:*:*:*:*
cpe:2.3:a:novell:zenworks_patch_management_update_agent:6.2:*:mac:*:*:*:*:*
cpe:2.3:a:novell:zenworks_patch_management_update_agent:6.2:*:unix:*:*:*:*:*
cpe:2.3:a:novell:zenworks_patch_management_update_agent:6.3:*:linux:*:*:*:*:*
cpe:2.3:a:novell:zenworks_patch_management_update_agent:6.3:*:mac:*:*:*:*:*
cpe:2.3:a:novell:zenworks_patch_management_update_agent:6.3:*:unix:*:*:*:*:*
cpe:2.3:a:novell:zenworks_patch_management_update_agent:6.4:*:linux:*:*:*:*:*
cpe:2.3:a:novell:zenworks_patch_management_update_agent:6.4:*:mac:*:*:*:*:*
cpe:2.3:a:novell:zenworks_patch_management_update_agent:6.4:*:unix:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
LUM の Novell ZENworks Patch Management Update Agent における任意のコードを実行される脆弱性
Title LUM の Novell ZENworks Patch Management Update Agent における任意のコードを実行される脆弱性
Summary

Linux/Unix/Mac (LUM) の Novell ZENworks Patch Management Update Agent で使用される Unix の PatchLink Update クライアントには、任意のファイルを短縮される、および任意のコードを実行される脆弱性が存在します。

Possible impacts ローカルユーザにより、以下の影響を受ける可能性があります。 (1) rebootTask スクリプトによって使用される /tmp/patchlink.tmp ファイルに対するシンボリックリンク攻撃を介して、任意のファイルを短縮される (2) rebootTask スクリプトによって使用される /tmp/plshutdown ファイルに対するシンボリックリンク攻撃を介して、任意のコードを実行される
Solution

ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date Jan. 31, 2008, midnight
Registration Date Sept. 25, 2012, 4:59 p.m.
Last Update Sept. 25, 2012, 4:59 p.m.
Affected System
Novell
zenworks patch management update agent 6.2094 から 6.4102
lumension security
patchlink update 
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2012年09月25日]
  掲載		 Feb. 17, 2018, 10:37 a.m.