Vendor Status Note JVNCIAC-Q-163

storebackup に複数の脆弱性

概要

storebackup には、一時ファイルの作成方法に脆弱性があります。
また、バックアップ用のディレクトリが誰でも読めるように作成されたり、バックアップの作成時または回復時にシンボリックリンクのユーザおよびグループの権限が正しく設定されなかったりする脆弱性があります。

想定される影響

ローカルユーザがシステム上の任意のファイルを上書きする可能性ならびに、本来アクセスできないデータにアクセスする可能性があります。

ベンダ情報

ベンダリンク更新日
DebianDebian セキュリティ警告 DSA-1022
storebackup -- several vulnerabilities
参考情報

  1. ISS X-Force Database: storebackup-storebackup-symlink(22462)
    storebackup storebackup.pl script allows symlink attack
  2. ISS X-Force Database: storebackup-root-directory-file-permissions(22464)
    storebackup root directory file permissions

JPCERT 緊急報告
JPCERT REPORTJPCERT-WR-2006-1401 ( 2006-04-12 )
CIAC BulletinQ-163 storebackup -- several vulnerabilities ( 2006-04-04 )
CVE2005-3146 [CVE+] XF22462
2005-3147 [CVE+] XF22464
2005-3148 [CVE+] XF22462
PGP署名JVNCIAC-Q-163.html.sig

登録日7:51 2006/04/15
更新日7:51 2006/04/15

Copyright(C) 2002-2009 Keio Univ. All rights reserved.