JVNDB-2013-005292

OpenFabrics ibutils における任意のファイルを上書きされる脆弱性

OpenFabrics ibutils には、任意のファイルを上書きされる脆弱性が存在します。

OpenFabrics Alliance

• ibutils 1.5.7

レッドハット

• Red Hat Enterprise Linux Desktop 6
• Red Hat Enterprise Linux HPC Node 6
• Red Hat Enterprise Linux Server 6
• Red Hat Enterprise Linux Workstation 6

ローカルユーザにより、/tmp/ 内の下記のファイルへのシンボリックリンク攻撃を介して、任意のファイルを上書きされる可能性があります。

(1) ibdiagnet.db
(2) ibdiagnet.fdbs
(3) ibdiagnet_ibis.log
(4) ibdiagnet.log
(5) ibdiagnet.lst
(6) ibdiagnet.mcfdbs
(7) ibdiagnet.pkey
(8) ibdiagnet.psl
(9) ibdiagnet.slvl
(10) ibdiagnet.sm

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

オラクル

• SECURITY BLOG : CVE-2013-2561 Link Following vulnerability in OpenFabrics ibutils

レッドハット

• Red Hat Bugzilla : Bug 927430
• Red Hat Security Advisory : RHSA-2013:1661

1. リンク解釈の問題(CWE-59) [NVD評価]

1. CVE-2013-2561

1. National Vulnerability Database (NVD) : CVE-2013-2561

• [2013年11月27日]
    掲載
  [2014年03月05日]
    ベンダ情報：オラクル (CVE-2013-2561 Link Following vulnerability in OpenFabrics ibutils) を追加