JVNDB-2007-000436

pam_console におけるデバイス所有者の変換処理による権限昇格の脆弱性

Red Hat Enterprise Linux および MIRACLE LINUX の PAM モジュール pam_console には、複数のユーザがログインしている状態で、1 人のユーザがログアウトした際に、特定のコンソールデバイスの所有者の変更処理が適切に行われない問題があります。

サイバートラスト株式会社

• Asianux Server 3.0 
• Asianux Server 3.0 (x86-64) 
• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 
• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 

レッドハット

• Red Hat Enterprise Linux 3 (as) 
• Red Hat Enterprise Linux 3 (es) 
• Red Hat Enterprise Linux 3 (ws) 
• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux Desktop 3.0 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• RHEL Desktop Workstation 5 (client) 

悪意のあるローカルユーザによって権限昇格され、重要な情報を取得される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

サイバートラスト株式会社

• Asianux Technical Support Network : pam-0.99.6.2-3.26.1AX
• MIRACLE LINUX アップデート情報 : pam (V3.0)
• MIRACLE LINUX アップデート情報 : pam (V4.0)

レッドハット

• Red Hat Bugzilla : 230823
• Red Hat Security Advisory : RHSA-2007:0465
• Red Hat Security Advisory : RHSA-2007:0555
• Red Hat Security Advisory : RHSA-2007:0737
• レッドハット セキュリティーアップデート : RHSA-2007:0465
• レッドハット セキュリティーアップデート : RHSA-2007:0555
• レッドハット セキュリティーアップデート : RHSA-2007:0737

1. その他(CWE-Other) [NVD評価]

1. CVE-2007-1716

1. National Vulnerability Database (NVD) : CVE-2007-1716
2. Secunia Advisory : SA25631

• [2007年06月15日]
    掲載
  [2007年06月22日]
    タイトル、概要を更新しました。
    影響を受けるシステムを更新しました。
    ベンダ情報: ミラクル・リナックスの情報を追加しました。
  [2007年11月30日]
    影響を受けるシステム：ミラクルリナックス (pam (V4.0)) の情報追加。
    ベンダ情報: ミラクルリナックス (pam (V4.0)) 追加。
    影響を受けるシステム：レッドハットの情報追加。
    ベンダ情報: レッドハットの情報追加。
    ・RHSA-2007:0555
    ・RHSA-2007:0737
  [2007年12月21日]
    影響を受けるシステム：ミラクルリナックス (pam-0.99.6.2-3.26.1AX) の情報追加。
    ベンダ情報：ミラクルリナックス (pam-0.99.6.2-3.26.1AX) 追加。