検出

FreeBSD:bugzilla -- 情報漏洩(f1331504-8849-11df-89b8-00151735203a)

medium Nessus プラグイン ID 47601

Language:

概要

リモート FreeBSD ホストには、セキュリティ関連の更新がありません。

説明

Bugzilla セキュリティアドバイザリによる報告:

- 通常、時間追跡に関する情報(推定時間、実際の時間、作業時間、締め切り)は、「time-tracking group」のユーザーに制限されます。ただし、いかなるユーザーでも、独自の検索 URLを細工することで、フィールドを基準として使用することで、検索と一致するバグをユーザーが確認することで、機密の時間追跡に関する情報を漏洩させる可能性があります。

- localconfig ファイルで $use_suexec が「1」に設定されていると、localconfig ファイルの権限が checksetup.pl によって誰でも読み取れます。これによって、データベースのパスワードおよび CSRF 保護で使用される site_wide_secret 変数を含めて、ローカルのシェルへのアクセスがある全ユーザーがファイルの内容を確認できます。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.mozilla.org/show_bug.cgi?id=309952

https://bugzilla.mozilla.org/show_bug.cgi?id=561797

http://www.nessus.org/u?80b9c259

プラグインの詳細

深刻度: Medium

ID: 47601

ファイル名: freebsd_pkg_f1331504884911df89b800151735203a.nasl

バージョン: 1.9

タイプ: local

公開日: 2010/7/6

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.7

CVSS v2

リスクファクター: Medium

基本値: 5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:bugzilla, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2010/7/5

脆弱性公開日: 2010/6/24

参照情報

CVE: CVE-2010-0180, CVE-2010-1204