Összefoglaló
A Debian kiadott egy frissítést a hplip-hez, mely egy gyengeséget, több biztonsági problémát és egy sérülékenységet javít, melyeket kihasználva a rosszindulatú helyi felhasználók visszaélhetnek bizonyos adatokkal, emelt szintű jogosultságokat szerezhetnek, és átveréses támadást indíthatnak.
Leírás
1) A program nem biztonságos módon hoz létre egy /tmp/hp-pkservice.log fájlt, melyet kihasználva tetszőleges fájlok írhatóak felül.
2) A program a hp-upgrade funkciót használva nem hitelesíti a frissítéseket, melyet kihasználva például átveréses Man-in-the-Middle (MitM) támadás hajtható végre.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Telepítse a javítócsomagot az apt-get package manager-en keresztül.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Other (Egyéb)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 56109
CVE-2013-0200 - NVD CVE-2013-0200
CVE-2013-4325 - NVD CVE-2013-4325
CVE-2013-6402 - NVD CVE-2013-6402
CVE-2013-6427 - NVD CVE-2013-6427
Gyártói referencia: www.debian.org