Podatność CVE-2006-7094
Publikacja: 2007-03-02   Modyfikacja: 2012-02-12

Opis:
ftpd, as used by Gentoo and Debian Linux, sets the gid to the effective uid instead of the effective group id before executing /bin/ls, which allows remote authenticated users to list arbitrary directories with the privileges of gid 0 and possibly enable additional attack vectors.

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:
Tytuł
Autor
Data
Med.
/bin/ls with gid=0 in Debian linux-ftpd
Paul Szabo
06.03.2007

Typ:

CWE-Other

CVSS2 => (AV:N/AC:M/Au:S/C:C/I:C/A:C)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
8.5/10
10/10
6.8/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Średnia
Jednorazowa
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Pełny
Pełny
Pełny
Affected software
FTPD -> FTPD 

 Referencje:
http://bugs.debian.org/384454
http://bugs.gentoo.org/show_bug.cgi?id=155317
http://packages.qa.debian.org/l/linux-ftpd/news/20061125T181702Z.html
http://securityreason.com/securityalert/2330
http://www.securityfocus.com/archive/1/460742/100/0/threaded
Copyright 2024, cxsecurity.com

 

Back to Top