Уязвимость обхода ограничений "/proc/sys/net" в функции "net_ctl_permissions" в ядре Linux, вызванная некорректным определением значений uid и gid
Описание
Обнаружена уязвимость в функции net_ctl_permissions в файле net/sysctl_net.c ядра Linux. Функция некорректно определяет значения uid и gid, что позволяет локальным пользователям обойти предполагаемые ограничения /proc/sys/net через специально созданное приложение.
Заявление
Данная проблема не затрагивает версии пакета ядра, поставляемые с Red Hat Enterprise Linux 5 и 6.
Затронутые версии ПО
- Ядро Linux до версии 3.11.5
Тип уязвимости
Обход ограничений
Затронутые пакеты
| Платформа | Пакет | Состояние | Рекомендация | Релиз |
|---|---|---|---|---|
| Red Hat Enterprise Linux 5 | kernel | Not affected | ||
| Red Hat Enterprise Linux 6 | kernel | Not affected | ||
| Red Hat Enterprise Linux 7 | kernel | Affected | ||
| Red Hat Enterprise MRG 2 | kernel-rt | Fixed | RHSA-2014:0100 | 28.01.2014 |
Показывать по
Дополнительная информация
Статус:
EPSS
4.7 Medium
CVSS2
Связанные уязвимости
The net_ctl_permissions function in net/sysctl_net.c in the Linux kernel before 3.11.5 does not properly determine uid and gid values, which allows local users to bypass intended /proc/sys/net restrictions via a crafted application.
The net_ctl_permissions function in net/sysctl_net.c in the Linux kernel before 3.11.5 does not properly determine uid and gid values, which allows local users to bypass intended /proc/sys/net restrictions via a crafted application.
The net_ctl_permissions function in net/sysctl_net.c in the Linux kern ...
The net_ctl_permissions function in net/sysctl_net.c in the Linux kernel before 3.11.5 does not properly determine uid and gid values, which allows local users to bypass intended /proc/sys/net restrictions via a crafted application.
ELSA-2014-3002: Unbreakable Enterprise kernel security and bug fix update (Unbreakable Enterprise Kernel Release 3 QU1) (IMPORTANT)
EPSS
4.7 Medium
CVSS2