Debian セキュリティ勧告
xfs -- シンボリックリンクを使ってファイル許可属性が変更可能
- 報告日時:
- 1999-03-31
- 影響を受けるパッケージ:
- xfs
- 危険性:
- なし
- 参考セキュリティデータベース:
- (SecurityFocus の) Bugtraq データベース: BugTraq ID 359.
Mitre の CVE 辞書: CVE-1999-0434. - 詳細:
- xfs のある実装では /tmp/.font-unix が、
システム上の他のファイルへのシンボリックリンクであったとしても、
その許可属性を不正に設定します。
なお Debian 2.1 (slink) ではこの問題による危険性はありません。
この ISS Security - X-Force Alerts - xfree86-xfs-symlink-dos ページ は、xfs の脆弱性の良い要約を提供しています。
脆弱性は、 Neohapsis Archives (BugTraq) 1999 "bugs in xfs" に示されるように、/etc/shadow ファイル許可属性を変更するために使用できます。 InDenial BugTraq Archives - 1999 Mar "bugs in xfs" は スレッドを示しています。