CVE-2011-2709

Опубликовано: 18 мая 2011

Источник: redhat

CVSS2: 6.2

EPSS Низкий

Уязвимость повышения привилегий в libgssapi и libgssglue, позволяющая загружать ненадежные конфигурационные файлы и выполнять произвольный код через переменную окружения GSSAPI_MECH_CONF

Описание

Обнаружена уязвимость в libgssapi и libgssglue, связанная с некорректной проверкой привилегий. Это позволяет локальным пользователям загружать ненадежные конфигурационные файлы и выполнять произвольный код через переменную окружения GSSAPI_MECH_CONF. Проблема была продемонстрирована с использованием утилиты mount.nfs.

Заявление

Служба безопасности Red Hat оценила эту проблему как имеющую низкое влияние на безопасность. В настоящее время не планируется устранение данной уязвимости в будущих обновлениях. Для получения дополнительной информации обратитесь к классификации серьезности проблем.

Затронутые версии ПО

libgssapi до версии 0.4
libgssglue до версии 0.4

Тип уязвимости

Некорректная проверка привилегий
Выполнение произвольного кода

Затронутые пакеты

Платформа	Пакет	Состояние
Red Hat Enterprise Linux 4	libgssapi	Will not fix
Red Hat Enterprise Linux 5	libgssapi	Will not fix
Red Hat Enterprise Linux 6	libgssglue	Will not fix

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Low

https://bugzilla.redhat.com/show_bug.cgi?id=724005libgssglue: Ability to load untrusted configuration file, when loading GSS mechanisms and their definitions during initialization

EPSS

Процентиль: 31%

0.00118

Низкий

6.2 Medium

CVSS2

Связанные уязвимости

CVE-2011-2709

ubuntu

больше 13 лет назад

libgssapi and libgssglue before 0.4 do not properly check privileges, which allows local users to load untrusted configuration files and execute arbitrary code via the GSSAPI_MECH_CONF environment variable, as demonstrated using mount.nfs.