Sérülékenység a Gnome GVfs rendszerben
Angol cím: Vulnerability in Gnome GVfs
CH azonosító: CH-14589
Publikálás dátuma: 2019.06.13.
Utolsó módosítás dátuma: 2019.06.13.
Leírás
A Linux platformon népszerű GNOME GVfs sérülékenysége vált ismertté a CVE-2019-12795 számon, melynek kihasználásával jogtalan hozzáférés szerezhető a rendszer erőforrásaihoz.
Leírás forrása: Egyéb referencia: nvd.nist.govElemzés leírás
A GNOME ablakkezelő szoftver daemon/gvfsdaemon.c moduljában található hiba lehetővé teszi egy olyan privát D-Bus kommunikációs csatorna nyitását, melyhez nem kerülnek beállításra a felhasználó azonosítási szabályok. A helyi támadó csatlakozhat a sérülékeny szerverre és D-Bus hívást kedzeményezhet. Mivel egyszerre csak egy kapcsolat létesíthető, a sikeres támadáshoz a támadónak meg kell találnia a szervert, és még a tulajdonos előtt csatlakoznia kell.
Érintett verziók:
GNOME gvfs 1.41.2
GNOME gvfs 1.41
GNOME gvfs 1.40.1
GNOME gvfs 1.40
GNOME gvfs 1.38.2
GNOME gvfs 1.38
GNOME gvfs 1.30
GNOME gvfs 1.0
Megoldás:
Átállás az alábbi verziók egyikére:
- GNOME gvfs 1.41.3
- GNOME gvfs 1.40.2
- GNOME gvfs 1.38.3
Hatás
CVSS3 Súlyosság és Metrika
Alap pontszám: 7.8 (Magas)
Vektor: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Hatás pontszáma: 5.9
Kihasználhatóság pontszáma: 1.8
Támadás Vektora (AV): Helyi
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Alacsony
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C):
Sértetlenség Hatása (I):
Rendelkezésre állás Hatása (A):
CVSS2 Súlyosság és Metrika
Alap pontszám: 4.6 (Közepes)
Vektor: (AV:L/AC:L/Au:N/C:P/I:P/A:P)
Hatás alpontszáma: 6.4
Kihasználhatóság alpontszáma: 3.9
Hozzáférés Komplexitása (AC): Alacsony
Bizalmasság Hatása (C): Rész
Sértetlenség Hatása (S): Rész
Rendelkezésre állás Hatása (A):
Hivatkozások
https://nvd.nist.gov/vuln/detail/CVE-2019-12795
https://www.securityfocus.com/bid/108741
