Информация по безопасности / 1999 / Информация о безопасности -- xfs

Рекомендация Debian по безопасности

xfs -- символьная ссылка может использоваться для изменения прав доступа к файлам

Дата сообщения:

31.03.1999

Затронутые пакеты:

xfs

Уязвим:

Нет

Ссылки на базы данных по безопасности:

В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 359.
В каталоге Mitre CVE: CVE-1999-0434.

Более подробная информация:

Некоторые реализации xfs неправильно устанавливают права доступа у файла /tmp/.font-unix, даже если он является лишь символьной ссылкой на другой файл. Debian 2.1 (slink) не уязвим к этой проблеме.

Эта ISS Security - X-Force Alerts - xfree86-xfs-symlink-dos страница содержит хорошее объяснение указанной уязвимости в xfs.

Данная уязвимость может использоваться для изменения прав доступа к файлу /etc/shadow, что демонстрируется в Neohapsis Archives (BugTraq) 1999 "bugs in xfs". Перейдя по адресу InDenial BugTraq Archives - 1999 Mar "bugs in xfs" можно ознакомиться с веткой обсуждения.