JVNDB-2016-004132
|
Perl の複数のファイルにおける権限を取得される脆弱性
|
|
Perl の以下のファイルは、インクルードディレクトリの配列の末尾から . (ピリオド) 文字を適切に削除しないため、権限を取得される脆弱性が存在します。
(1) cpan/Archive-Tar/bin/ptar
(2) cpan/Archive-Tar/bin/ptardiff
(3) cpan/Archive-Tar/bin/ptargrep
(4) cpan/CPAN/scripts/cpan
(5) cpan/Digest-SHA/shasum
(6) cpan/Encode/bin/enc2xs
(7) cpan/Encode/bin/encguess
(8) cpan/Encode/bin/piconv
(9) cpan/Encode/bin/ucmlint
(10) cpan/Encode/bin/unidump
(11) cpan/ExtUtils-MakeMaker/bin/instmodsh
(12) cpan/IO-Compress/bin/zipdetails
(13) cpan/JSON-PP/bin/json_pp
(14) cpan/Test-Harness/bin/prove
(15) dist/ExtUtils-ParseXS/lib/ExtUtils/xsubpp
(16) dist/Module-CoreList/corelist
(17) ext/Pod-Html/bin/pod2html
(18) utils/c2ph.PL
(19) utils/h2ph.PL
(20) utils/h2xs.PL
(21) utils/libnetcfg.PL
(22) utils/perlbug.PL
(23) utils/perldoc.PL
(24) utils/perlivp.PL
(25) utils/splain.PL
|
|
CVSS v3 による深刻度
基本値: 7.8 (重要) [NVD値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 7.2 (危険) [NVD値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
|
Debian
The Perl Foundation
- Perl 5.22.3-RC2 未満の 5.x
- Perl 5.24.1-RC2 未満の 5.24
|
|
|
ローカルユーザにより、カレントワーキングディレクトリ配下にあるトロイの木馬のモジュールを介して、権限を取得される可能性があります。
|
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
|
Debian
The Perl Foundation
ヒューレット・パッカード・エンタープライズ
レッドハット
|
|
- 認可・権限・アクセス制御(CWE-264) [NVD評価]
|
|
- CVE-2016-1238
|
|
- National Vulnerability Database (NVD) : CVE-2016-1238
|
|
- [2016年08月04日]
掲載
[2016年10月27日]
ベンダ情報:ヒューレット・パッカード・エンタープライズ (HPSBNS03635) を追加
|
