• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Неавторизованный доступ

Главная Специалистам База уязвимостей Неавторизованный доступ

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:L/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Описание
suexec в Apache HTTP Server не проверяет комбинации идентификаторов пользователя и группы в командной строке, что может позволить локальным пользователям использовать другие уязвимости для создания собственных произвольных UID/GID-файлов, если присоединен /proc. Замечание: исследователь, мнению которого доверяют, заявляет, что поставщик оспаривает данную уязвимость, т.к. "описанные атаки эксплуатируются при ненадежных настройках, когда пользователь имеет права на запись в корневой каталог".
Как исправить
Обновление не выпущено.
http://www.apache.org/
Ссылки
IDEFENSE (20070411 Apache HTTPD suEXEC Multiple Vulnerabilities): http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=511
MLIST ([apache-http-dev] 20070328 [Fwd: iDefense Final Notice [IDEF1445]]): http://marc.info/?l=apache-httpd-dev&m=117511568709063&w=2
MLIST ([apache-http-dev] 20070328 Re: [Fwd: iDefense Final Notice [IDEF1445]]): http://marc.info/?l=apache-httpd-dev&m=117511834512138&w=2
SECTRACK (1017904): http://www.securitytracker.com/id?1017904