JVNDB-2015-001245
|
LabTech に権限昇格の脆弱性
|
不適切なアクセス制御 (CWE-284)
Linux プラットフォーム用 LabTech スタートアップスクリプトとそのディレクトリには、全ユーザが書き込み可能な権限が設定されており、スクリプトが root 権限で実行されます。
CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html
|
CVSS v2 による深刻度 基本値: 6.8 (警告) [IPA値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 単一
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
LabTech Software
- LabTech 100.237 より前のバージョン
|
|
当該製品がインストールされたシステムにログイン可能なユーザによって、root 権限を取得される可能性があります。
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性は version 100.237 で修正されています。
[ワークアラウンドを実施する]
次のワークアラウンドを実施することで、本脆弱性の影響を回避することが可能です。
・ Labtech のスタートアップスクリプトおよびそのディレクトリのパーミッションを world-writable にしない
|
LabTech Software
|
- その他(CWE-Other) [IPA評価]
|
- CVE-2015-0926
|
- JVN : JVNVU#99446981
- National Vulnerability Database (NVD) : CVE-2015-0926
- US-CERT Vulnerability Note : VU#637068
|
- [2015年01月28日]
掲載
[2015年02月16日]
参考情報:National Vulnerability Database (NVD) (CVE-2015-0926) を追加
|