Vendor Status Note JVNCIAC-P-003

Cyrus の SASL の実装に含まれる脆弱性

概要

Cyrus の SASL (Simple Authentication and Security Layer) の実装には脆弱性があります。

想定される影響

s-bit が設定されたアプリケーションを経由して、ローカルユーザが root 権限など、他のユーザの権限を取得する可能性があります。

ベンダ情報

ベンダリンク更新日
DebianDebian セキュリティ警告 DSA-563
cyrus-sasl -- 入力のサニタイズ抜け
ミラクル・リナックスcyrus-sasl セキュリティ cyrus-sasl に権限昇格の脆弱性
Red Hatセキュリティアドバイス RHSA-2004:546
Updated cyrus-sasl packages fix security flaw
参考情報

  1. ISS X-Force Database: cyrus-sasl-saslpath(17643)
    Cyrus-SASL SASL_PATH environment variable

JPCERT 緊急報告
JPCERT REPORTJPCERT-WR-2004-4001 ( 2004-10-14 )
JPCERT-WR-2004-4101 ( 2004-10-20 )
CIAC BulletinP-003 Updated Cyrus-SASL Packages Fix Security Flaw ( 2004-10-07 )
CVE2004-0884 [CVE+] XF17643
PGP署名JVNCIAC-P-003.html.sig

登録日22:50 2004/10/17
更新日14:27 2004/10/31

Copyright(C) 2002-2009 Keio Univ. All rights reserved.