Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:L/AC:L/Au:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
Linux
(Unspecified)
Mandrake Corporate Server
(2.1, 2.1 x86_64)
Mandrake Linux
(10.0, 10.0 AMD64, 10.1, 10.1 x86_64, 9.2, 9.2 amd64)
OpenSSL
(Linux - 0.9.6, Linux - 0.9.7d)
Описание
Сценарий OpenSSL der_chop содержит ошибку, которая может позволить злоумышленнику перезаписать файлы с правами пользователя, который запустил сценарий. Уязвимость возникает из-за того, что при создании символьных ссылок, доступных всем на запись, им присваиваются предсказуемые имена; злоумышленники могут изменить то, куда указывают эти ссылки и, таким образом, обозначить данные, которые будут записаны.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.openssl.org/
http://www.openssl.org/
Ссылки
Security Focus (OpenSSL DER_CHOP Insecure Temporary File Creation Vulnerability): http://www.securityfocus.com/bid/11293
ISS X-Force (Multiple scripts temporary file overwrite): http://xforce.iss.net/xforce/xfdb/17583
DEBIAN (DSA-603): http://www.debian.org/security/2004/dsa-603
GENTOO (GLSA-200411-15): http://www.gentoo.org/security/en/glsa/glsa-200411-15.xml
TRUSTIX (2004-0050): http://www.trustix.org/errata/2004/0050
CONFIRM (http://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=136302): http://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=136302
OVAL (OVAL164): http://oval.mitre.org/oval/definitions/data/oval164.html
REDHAT (RHSA-2005:476): http://www.redhat.com/support/errata/RHSA-2005-476.html
OVAL (oval:org.mitre.oval:def:164): http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:164
ISS X-Force (Multiple scripts temporary file overwrite): http://xforce.iss.net/xforce/xfdb/17583
DEBIAN (DSA-603): http://www.debian.org/security/2004/dsa-603
GENTOO (GLSA-200411-15): http://www.gentoo.org/security/en/glsa/glsa-200411-15.xml
TRUSTIX (2004-0050): http://www.trustix.org/errata/2004/0050
CONFIRM (http://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=136302): http://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=136302
OVAL (OVAL164): http://oval.mitre.org/oval/definitions/data/oval164.html
REDHAT (RHSA-2005:476): http://www.redhat.com/support/errata/RHSA-2005-476.html
OVAL (oval:org.mitre.oval:def:164): http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:164