Рекомендация Debian по безопасности

xfs -- символьная ссылка может использоваться для изменения прав доступа к файлам

Дата сообщения:
31.03.1999
Затронутые пакеты:
xfs
Уязвим:
Нет
Ссылки на базы данных по безопасности:
В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 359.
В каталоге Mitre CVE: CVE-1999-0434.
Более подробная информация:
Некоторые реализации xfs неправильно устанавливают права доступа у файла /tmp/.font-unix, даже если он является лишь символьной ссылкой на другой файл. Debian 2.1 (slink) не уязвим к этой проблеме.

Эта ISS Security - X-Force Alerts - xfree86-xfs-symlink-dos страница содержит хорошее объяснение указанной уязвимости в xfs.

Данная уязвимость может использоваться для изменения прав доступа к файлу /etc/shadow, что демонстрируется в Neohapsis Archives (BugTraq) 1999 "bugs in xfs". Перейдя по адресу InDenial BugTraq Archives - 1999 Mar "bugs in xfs" можно ознакомиться с веткой обсуждения.