JVNDB-2014-001272

JVNDB-2014-001272
localepurge の debian/postrm および debian/localepurge.config における任意のファイルを上書きされる脆弱性
概要
localepurge の (1) debian/postrm および (2) debian/localepurge.config は、安全な一時ファイルを作成するために、元のファイル名へのサフィックスの追加および新しいファイル名への書き込み以外に tempfile を使用するため、任意のファイルを上書きされる脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 3.3 (注意) [NVD値] 攻撃元区分: ローカル攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): 部分的
影響を受けるシステム

Debian localepurge 0.7.3.2 未満

想定される影響
ローカルユーザにより、新しいファイル名へのシンボリックリンク攻撃を介して、任意のファイルを上書きされる可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
Debian Debian Bug report logs : 736359
CWEによる脆弱性タイプ一覧 CWEとは?
リンク解釈の問題(CWE-59) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2014-1638
参考情報
National Vulnerability Database (NVD) : CVE-2014-1638 関連文書 : 102381 : localepurge /debian/postrm TEMPFILE Local Symlink File Overwrite 関連文書 : 102379 : localepurge /debian/localepurge.config Multiple File Local Symlink File Overwrite
更新履歴
[2014年01月30日] 掲載


公表日	2014/01/26
登録日	2014/01/30
最終更新日	2014/01/30

localepurge の debian/postrm および debian/localepurge.config における任意のファイルを上書きされる脆弱性