Sérülékenység a Gnome GVfs rendszerben

CH azonosító: CH-14589
Cím: Sérülékenység a Gnome GVfs rendszerben
Angol cím: Vulnerability in Gnome GVfs

Publikálás dátuma: 2019.06.13.
Utolsó módosítás dátuma: 2019.06.13.


Leírás

A Linux platformon népszerű GNOME GVfs sérülékenysége vált ismertté a CVE-2019-12795 számon, melynek kihasználásával jogtalan hozzáférés szerezhető a rendszer erőforrásaihoz.


Leírás forrása: Egyéb referencia: nvd.nist.gov


Elemzés leírás

A GNOME ablakkezelő szoftver daemon/gvfsdaemon.c moduljában található hiba lehetővé teszi egy olyan privát D-Bus kommunikációs csatorna nyitását, melyhez nem kerülnek beállításra a felhasználó azonosítási szabályok. A helyi támadó csatlakozhat a sérülékeny szerverre és D-Bus hívást kedzeményezhet. Mivel egyszerre csak egy kapcsolat létesíthető, a sikeres támadáshoz a támadónak meg kell találnia a szervert, és még a tulajdonos előtt csatlakoznia kell.

Érintett verziók:
GNOME gvfs 1.41.2
GNOME gvfs 1.41
GNOME gvfs 1.40.1
GNOME gvfs 1.40
GNOME gvfs 1.38.2
GNOME gvfs 1.38
GNOME gvfs 1.30
GNOME gvfs 1.0

Megoldás:
Átállás az alábbi verziók egyikére:

  • GNOME gvfs 1.41.3
  • GNOME gvfs 1.40.2
  • GNOME gvfs 1.38.3

Elemzés leírás forrása: Egyéb referencia: www.securityfocus.com


Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 7.8 (Magas)
Vektor: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Hatás pontszáma: 5.9
Kihasználhatóság pontszáma: 1.8


Támadás Vektora (AV): Helyi
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Alacsony
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas

CVSS2 Súlyosság és Metrika

Alap pontszám: 4.6 (Közepes)
Vektor: (AV:L/AC:L/Au:N/C:P/I:P/A:P)
Hatás alpontszáma: 6.4
Kihasználhatóság alpontszáma: 3.9


Hozzáférés Komplexitása (AC): Alacsony
Bizalmasság Hatása (C): Rész
Sértetlenség Hatása (S): Rész
Rendelkezésre állás Hatása (A):


Hivatkozások

https://nvd.nist.gov/vuln/detail/CVE-2019-12795
https://www.securityfocus.com/bid/108741