検出

FreeBSD: doas -- 環境変数の受け渡しの妨げ(7f7d6412-bae5-11e9-be92-3085a9a95629)

high Nessus プラグイン ID 127548

Language:

概要

リモートのFreeBSDホストに、セキュリティ関連の更新プログラムがありません。

説明

Jesse Smith氏(doasプログラムのアップストリーム作者)による報告:

以前のバージョンの「doas」では、USER、HOME、PATHなどほとんどの環境変数は元のユーザーからターゲットユーザーに転送されていました。

これらの変数を渡すことで、正しくないパスまたはホームディレクトリのファイルが読み取られる(または書き込まれる)可能性があり、これによりセキュリティ問題が発生する可能性があります。

この問題を報告し、どのように悪用される可能性があるかを説明してくれたSander Bos氏に感謝の意を表します。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://marc.info/?l=openbsd-tech&m=156105665713340&w=2

https://github.com/slicer69/doas/releases/tag/6.1

http://www.nessus.org/u?00b6d1a2

プラグインの詳細

深刻度: High

ID: 127548

ファイル名: freebsd_pkg_7f7d6412bae511e9be923085a9a95629.nasl

バージョン: 1.2

タイプ: local

公開日: 2019/8/12

更新日: 2019/8/20

サポートされているセンサー: Nessus

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:doas, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2019/8/9

脆弱性公開日: 2019/8/3