CVE-2014-0185

Опубликовано: 30 апр. 2014

Источник: redhat

CVSS2: 3.6

Уязвимость повышения привилегий в FastCGI Process Manager (FPM) PHP, вызванная использованием разрешений 0666 для UNIX-сокета

Описание

Обнаружена уязвимость в файле sapi/fpm/fpm/fpm_unix.c FastCGI Process Manager (FPM) в PHP. Программа использует разрешения 0666 для UNIX-сокета, что позволяет локальным пользователям повышать привилегии через специально созданный клиент FastCGI.

Заявление

Данная проблема не затрагивает пакеты php и php53, поставляемые с Red Hat Enterprise Linux 5.

В настоящее время не планируется устранение этой проблемы в пакетах php для Red Hat Enterprise Linux 6 и 7.

Для получения дополнительной информации обратитесь к записи в Bugzilla Red Hat.

Затронутые версии ПО

PHP до версии 5.4.28
PHP 5.5.x до версии 5.5.12

Тип уязвимости

Повышение привилегий

Идентификаторы

CVE-2014-0185

Затронутые пакеты

Платформа	Пакет	Состояние
Red Hat Enterprise Linux 5	php	Not affected
Red Hat Enterprise Linux 5	php53	Not affected
Red Hat Enterprise Linux 6	php	Will not fix
Red Hat Enterprise Linux 7	php	Will not fix
Red Hat Software Collections	php54-php	Will not fix
Red Hat Software Collections	php55-php	Will not fix

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate

https://bugzilla.redhat.com/show_bug.cgi?id=1092815php: insecure default permissions on the FPM unix socket

3.6 Low

CVSS2

Связанные уязвимости

CVE-2014-0185

ubuntu

больше 11 лет назад

sapi/fpm/fpm/fpm_unix.c in the FastCGI Process Manager (FPM) in PHP before 5.4.28 and 5.5.x before 5.5.12 uses 0666 permissions for the UNIX socket, which allows local users to gain privileges via a crafted FastCGI client.