製品・ソフトウェアに関する情報
脆弱性検索
openCryptoki における任意のファイルに誰でも書き込みできる権限 (world-writable permissions) を作成される脆弱性
タイトル openCryptoki における任意のファイルに誰でも書き込みできる権限 (world-writable permissions) を作成される脆弱性
概要

openCryptoki は、スピンロックを使用する際、任意のファイルに誰でも書き込みできる権限 (world-writable permissions) を作成される、または設定される脆弱性が存在します。

想定される影響 ローカルユーザにより、/tmp 内の (1) .pkapi_xpk、または (2) .pkcs11spinloc ファイルへのシンボリックリンク攻撃を介して、任意のファイルに誰でも書き込みできる権限 (world-writable permissions) を作成される、または設定される可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日 2012年2月22日0:00
登録日 2012年10月15日13:51
最終更新日 2012年10月15日13:51
CVSS2.0 : 注意
スコア 2.9
ベクター AV:A/AC:M/Au:N/C:N/I:P/A:N
影響を受けるシステム
openCryptoki Project
openCryptoki 2.4.1 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
変更履歴
No 変更内容 変更日
0 [2012年10月15日]
  掲載		 2018年2月17日10:37
NVD脆弱性情報
CVE-2012-4454
概要

openCryptoki before 2.4.1, when using spinlocks, allows local users to create or set world-writable permissions on arbitrary files via a symlink attack on the (1) .pkapi_xpk or (2) .pkcs11spinloc file in /tmp.

公表日 2012年10月11日3:55
登録日 2021年1月28日15:03
最終更新日 2024年11月21日10:42
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:opencryptoki_project:opencryptoki:2.3.3:*:*:*:*:*:*:*
cpe:2.3:a:opencryptoki_project:opencryptoki:2.2.7:*:*:*:*:*:*:*
cpe:2.3:a:opencryptoki_project:opencryptoki:2.2.4:*:*:*:*:*:*:*
cpe:2.3:a:opencryptoki_project:opencryptoki:2.2.3:*:*:*:*:*:*:*
cpe:2.3:a:opencryptoki_project:opencryptoki:2.2.8:*:*:*:*:*:*:*
cpe:2.3:a:opencryptoki_project:opencryptoki:2.2.5:*:*:*:*:*:*:*
cpe:2.3:a:opencryptoki_project:opencryptoki:2.3.1:*:*:*:*:*:*:*
cpe:2.3:a:opencryptoki_project:opencryptoki:*:*:*:*:*:*:*:* 2.4
cpe:2.3:a:opencryptoki_project:opencryptoki:2.2.4.1:*:*:*:*:*:*:*
cpe:2.3:a:opencryptoki_project:opencryptoki:2.3.2:*:*:*:*:*:*:*
cpe:2.3:a:opencryptoki_project:opencryptoki:2.3.0:*:*:*:*:*:*:*
cpe:2.3:a:opencryptoki_project:opencryptoki:2.2.6:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧