Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-05007

Опубликовано: 29 мая 2023
Источник: fstec
CVSS3: 5.3
CVSS2: 4.5
EPSS Низкий

Описание

Уязвимость функции umask() компонента archive_write_disk_posix.c библиотеки Libarchive вызвана ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю удалять и переименовывать файлы внутри этих каталогов

Вендор

ООО «Ред Софт»
АО «ИВК»
Сообщество свободного программного обеспечения

Наименование ПО

РЕД ОС
Альт 8 СП
libarchive

Версия ПО

7.3 (РЕД ОС)
- (Альт 8 СП)
до 3.6.2 включительно (libarchive)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
АО «ИВК» Альт 8 СП -

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Libarchive:
https://groups.google.com/g/libarchive-announce
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 2%
0.00013
Низкий

5.3 Medium

CVSS3

4.5 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20230825-03

CVSS3: 5.3
redos
больше 2 лет назад

Уязвимость Libarchive

ubuntu логотип

CVE-2023-30571

CVSS3: 3.9
ubuntu
больше 2 лет назад

Libarchive through 3.6.2 can cause directories to have world-writable permissions. The umask() call inside archive_write_disk_posix.c changes the umask of the whole process for a very short period of time; a race condition with another thread can lead to a permanent umask 0 setting. Such a race condition could lead to implicit directory creation with permissions 0777 (without the sticky bit), which means that any low-privileged local user can delete and rename files inside those directories.

redhat логотип

CVE-2023-30571

CVSS3: 5.3
redhat
больше 2 лет назад

Libarchive through 3.6.2 can cause directories to have world-writable permissions. The umask() call inside archive_write_disk_posix.c changes the umask of the whole process for a very short period of time; a race condition with another thread can lead to a permanent umask 0 setting. Such a race condition could lead to implicit directory creation with permissions 0777 (without the sticky bit), which means that any low-privileged local user can delete and rename files inside those directories.

nvd логотип

CVE-2023-30571

CVSS3: 3.9
nvd
больше 2 лет назад

Libarchive through 3.6.2 can cause directories to have world-writable permissions. The umask() call inside archive_write_disk_posix.c changes the umask of the whole process for a very short period of time; a race condition with another thread can lead to a permanent umask 0 setting. Such a race condition could lead to implicit directory creation with permissions 0777 (without the sticky bit), which means that any low-privileged local user can delete and rename files inside those directories.

debian логотип

CVE-2023-30571

CVSS3: 3.9
debian
больше 2 лет назад

Libarchive through 3.6.2 can cause directories to have world-writable ...

EPSS

Процентиль: 2%
0.00013
Низкий

5.3 Medium

CVSS3

4.5 Medium

CVSS2