検出

Fedora 27:rpm(2018-2c9120d494)

high Nessus プラグイン ID 118857

Language:

概要

リモートのFedoraホストにセキュリティ更新プログラムがありません。

説明

rpm 4.14.2での残念な回帰により、シンボリックリンク上で--setpermsが不適切に動作します:ファイルおよびディレクトリの権限がシンボリックリンクターゲットで誰でも書き込めるようになり、実行可能になります。類似の欠陥が--setugidsに存在しますが、悪用される可能性は低いです。

rpm 4.14.2で--setperms(または--setugids、--restore )を使用したことがある場合、混合した権限と所有権を修正する前にrpm --verifyでシステムの整合性を確認し、変更したバイナリにsuid機能を与えないようにする必要があります。

Upstreamで入手可能な--setpermsバグの詳細:
http://rpm.org/wiki/Releases/4.14.2.1

**注意:この更新では、rpmで-setperms、-setugidsまたは-restoreを使用することで発生する潜在的な被害を自動的に修正できず 4.14.2、単に機能自体を修正するだけです。-verifyや-restoreの使用や、パッケージの再インストールなど、破損を手動で調査し、修正する必要があります。**

注意:Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ソリューション

影響を受ける rpm パッケージを更新してください。

参考資料

https://bodhi.fedoraproject.org/updates/FEDORA-2018-2c9120d494

プラグインの詳細

深刻度: High

ID: 118857

ファイル名: fedora_2018-2c9120d494.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

公開日: 2018/11/11

更新日: 2021/1/6

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

脆弱性情報

CPE: p-cpe:/a:fedoraproject:fedora:rpm, cpe:/o:fedoraproject:fedora:27

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

パッチ公開日: 2018/11/10

脆弱性公開日: 2018/11/10

参照情報