| タイトル | Uutilsのuutils coreutilsにおける重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性 |
|---|---|
| 概要 | uutils coreutils の mkfifo に存在する脆弱性により、既存ファイルの権限が不正に変更される可能性があります。mkfifo はFIFOの作成に失敗するのが対象パスに既にファイルが存在する場合ですが、この際に当該パスでの操作を終了せず、その後の set_permissions 呼び出しを継続して実行します。その結果、既存のファイルの権限がデフォルトモード(通常は umask 後の 644)に変更され、SSH の秘密鍵などの機密ファイルが他のシステムユーザーに露出してしまう可能性があります。 |
| 想定される影響 | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月22日0:00 |
| 登録日 | 2026年4月27日11:18 |
| 最終更新日 | 2026年4月27日11:18 |
| CVSS3.0 : 重要 | |
| スコア | 7.1 |
|---|---|
| ベクター | CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
| Uutils |
| uutils coreutils |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年04月27日] 掲載 |
2026年4月27日11:18 |
| 概要 | A vulnerability in uutils coreutils mkfifo allows for the unauthorized modification of permissions on existing files. When mkfifo fails to create a FIFO because a file already exists at the target path, it fails to terminate the operation for that path and continues to execute a follow-up set_permissions call. This results in the existing file's permissions being changed to the default mode (often 644 after umask), potentially exposing sensitive files such as SSH private keys to other users on the system. |
|---|---|
| 公表日 | 2026年4月23日2:16 |
| 登録日 | 2026年4月25日4:05 |
| 最終更新日 | 2026年4月25日0:16 |