Podatność CVE-2004-1051
Publikacja: 2005-03-01   Modyfikacja: 2012-02-12

Opis:
sudo before 1.6.8p2 allows local users to execute arbitrary commands by using "()" style environment variables to create functions that have the same name as any program within the bash script that is called without using the program's full pathname.

CVSS2 => (AV:L/AC:L/Au:N/C:C/I:C/A:C)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
7.2/10
10/10
3.9/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Lokalny
Niska
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Pełny
Pełny
Pełny
Affected software
Ubuntu -> Ubuntu linux 
Trustix -> Secure linux 
Todd miller -> SUDO 
Mandrakesoft -> Mandrake multi network firewall 
Mandrakesoft -> Mandrake linux 
Mandrakesoft -> Mandrake linux corporate server 
Debian -> Debian linux 

 Referencje:
http://lists.apple.com/archives/security-announce/2005/May/msg00001.html
http://marc.info/?l=bugtraq&m=110028877431192&w=2
http://marc.info/?l=bugtraq&m=110598298225675&w=2
http://www.debian.org/security/2004/dsa-596
http://www.mandriva.com/security/advisories?name=MDKSA-2004:133
http://www.securityfocus.com/bid/11668
http://www.sudo.ws/sudo/alerts/bash_functions.html
http://www.trustix.org/errata/2004/0061/
http://xforce.iss.net/xforce/xfdb/18055
https://www.ubuntu.com/usn/usn-28-1/
Copyright 2024, cxsecurity.com

 

Back to Top