製品・ソフトウェアに関する情報

JVN脆弱性詳細

Linux-PAM の pam_namespace.c における権限を取得される脆弱性

タイトル	Linux-PAM の pam_namespace.c における権限を取得される脆弱性
概要	Linux-PAM の pam_namespace モジュール内にある pam_namespace.c は、namespace.init スクリプトを実行中に、アプリケーションまたはサービスを呼び出す環境を利用しているため、権限を取得される脆弱性が存在します。
想定される影響	ローカルユーザにより、pam_namespace PAM チェックに依存している setuid プログラムを実行されることによって、権限を取得される可能性があります。
対策	ベンダ情報及び参考情報を参照して適切な対策を実施してください。
公表日	2010年11月1日0:00
登録日	2011年2月9日16:40
最終更新日	2011年3月28日14:27

影響を受けるシステム

レッドハット

Red Hat Enterprise Linux 5 (server)

Red Hat Enterprise Linux Desktop 5.0 (client)

Red Hat Enterprise Linux Desktop 6

Red Hat Enterprise Linux HPC Node 6

Red Hat Enterprise Linux Server 6

Red Hat Enterprise Linux Workstation 6

RHEL Desktop Workstation 5 (client)

サイバートラスト株式会社

Asianux Server 3 (x86)

Asianux Server 3 (x86-64)

kernel.org

Linux-PAM 1.1.3 未満

VMware

VMware ESX 3.0.3

VMware ESX 3.5

VMware ESX 4.0

VMware ESX 4.1

VMware ESXi

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2010-3853	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3853
National Vulnerability Database (NVD)
2	CVE-2010-3853	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-3853

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-DesignError	https://www.ipa.go.jp/security/vuln/CWE.html#CWEDesignError

ベンダー情報

No	名前	URL
Asianux Technical Support Network
1	pam-0.99.6.2-6.2.0.1.AXS3	https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=1291
Linux Kernel
2	Linux Kernel Archives	http://www.kernel.org
Red Hat Security Advisory
3	RHSA-2010:0819	https://rhn.redhat.com/errata/RHSA-2010-0819.html
4	RHSA-2010:0891	https://rhn.redhat.com/errata/RHSA-2010-0891.html
VMware Security Advisories
5	VMSA-2011-0004	http://www.vmware.com/security/advisories/VMSA-2011-0004.html

その他

No	名前	URL
Secunia Advisory
1	SA42088	http://secunia.com/advisories/42088
SecurityFocus
2	44590	http://www.securityfocus.com/bid/44590
VUPEN Security
3	VUPEN/ADV-2010-2876	http://www.vupen.com/english/advisories/2010/2876

変更履歴

No	変更内容	変更日
0	[2011年02月09日] 掲載 [2011年03月28日] 影響を受けるシステム：VMware (VMSA-2011-0004) の情報を追加ベンダ情報：VMware (VMSA-2011-0004) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2010-3853

概要	pam_namespace.c in the pam_namespace module in Linux-PAM (aka pam) before 1.1.3 uses the environment of the invoking application or service during execution of the namespace.init script, which might allow local users to gain privileges by running a setuid program that relies on the pam_namespace PAM check, as demonstrated by the sudo program.
公表日	2011年1月25日3:00
登録日	2021年1月29日11:07
最終更新日	2024年11月21日10:19

影響を受けるソフトウェアの構成

関連情報、対策とツール

No	URL	タグ
1	http://lists.vmware.com/pipermail/security-announce/2011/000126.html
2	http://lists.vmware.com/pipermail/security-announce/2011/000126.html
3	http://pam.cvs.sourceforge.net/viewvc/pam/Linux-PAM/modules/pam_namespace/pam_namespace.c?view=log#rev1.13	Patch
4	http://pam.cvs.sourceforge.net/viewvc/pam/Linux-PAM/modules/pam_namespace/pam_namespace.c?view=log#rev1.13	Patch
5	http://secunia.com/advisories/49711
6	http://secunia.com/advisories/49711
7	http://security.gentoo.org/glsa/glsa-201206-31.xml
8	http://security.gentoo.org/glsa/glsa-201206-31.xml
9	http://www.mandriva.com/security/advisories?name=MDVSA-2010:220
10	http://www.mandriva.com/security/advisories?name=MDVSA-2010:220
11	http://www.redhat.com/support/errata/RHSA-2010-0819.html
12	http://www.redhat.com/support/errata/RHSA-2010-0819.html
13	http://www.redhat.com/support/errata/RHSA-2010-0891.html
14	http://www.redhat.com/support/errata/RHSA-2010-0891.html
15	http://www.securityfocus.com/archive/1/516909/100/0/threaded
16	http://www.securityfocus.com/archive/1/516909/100/0/threaded
17	http://www.vmware.com/security/advisories/VMSA-2011-0004.html
18	http://www.vmware.com/security/advisories/VMSA-2011-0004.html
19	http://www.vupen.com/english/advisories/2011/0606
20	http://www.vupen.com/english/advisories/2011/0606
21	https://bugzilla.redhat.com/show_bug.cgi?id=643043	Patch
22	https://bugzilla.redhat.com/show_bug.cgi?id=643043	Patch

共通脆弱性一覧