FreeBSD:kde-workspace -- 権限昇格(dafa13a8-6e9b-11e4-8ef7-5453ed2e2b49)
high Nessus プラグイン ID 79301
Language:
概要
リモート FreeBSD ホストには、セキュリティ関連の更新がありません。説明
David Edmundson 氏による報告:日時を設定する KDE ワークスペース構成モジュールに、root としてアクションを実行するヘルパープログラムがあります。これは、polkit により確保されています。
このヘルパーは、ntp ユーティリティの名前を引き継ぎ、引数として実行します。
これにより、ハッカーが時間を更新することを装って root として任意のコマンドを実行する可能性があります。
誤った情報またはなんのやりとりもなしに、アプリケーションが管理者ユーザーからの root 権限を入手する可能性があります。
一部のシステムで、ユーザーに時刻を変更するプロンプトが表示されます。
しかし、システムに policykit-desktop-privileges がインストールされていると、日時ヘルパーが管理者ユーザーによりプロンプトなしに呼び出されます。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 79301
ファイル名: freebsd_pkg_dafa13a86e9b11e48ef75453ed2e2b49.nasl
バージョン: 1.6
タイプ: local
公開日: 2014/11/18
更新日: 2021/1/6
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 7.2
ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: p-cpe:/a:freebsd:freebsd:kde-workspace, cpe:/o:freebsd:freebsd
必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
パッチ公開日: 2014/11/17
脆弱性公開日: 2014/11/6
参照情報
CVE: CVE-2014-8651