検出

FreeBSD:automake -- 安全でない「distcheck」レシピが付与された誰でも書き込める distdir(36235c38-e0a8-11e1-9f4d-002354ed89bc)

medium Nessus プラグイン ID 61451

Language:

概要

リモート FreeBSD ホストには、セキュリティ関連の更新がありません。

説明

GNU による報告:

「distcheck」ターゲットのレシピが、抽出された distdir に一時的な誰でも書き込める権限を付与しました。これにより、他者がアクセスできるディレクトリで非制限的な umask(例:022)で「make distcheck」を実行する者に対して、ローカルで悪用できる競合状態がもたらされました。悪用が成功すると、「make distcheck」の実行ユーザーの権限で任意のコードが実行されました。

重要な点として、この脆弱性では Automake パッケージ自体だけではなく、Automake が生成した全ての makefile も影響を受けます。修正を有効にするには、Makefile.in ファイルを修正済みの Automake バージョンで再生成する必要があります。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://lists.gnu.org/archive/html/automake/2012-07/msg00023.html

http://www.nessus.org/u?99848a50

プラグインの詳細

深刻度: Medium

ID: 61451

ファイル名: freebsd_pkg_36235c38e0a811e19f4d002354ed89bc.nasl

バージョン: 1.7

タイプ: local

公開日: 2012/8/8

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

Base Score: 4.4

ベクトル: CVSS2#AV:L/AC:M/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:automake, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2012/8/6

脆弱性公開日: 2012/7/9

参照情報

CVE: CVE-2012-3386