Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:L/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
F5 BIG-IP TMOS
(11.5.2, 11.6.5, 12.1.0, 12.1.5, 13.0.0, 13.1.3, 14.0.0, 14.1.3, 15.0.0, 15.0.1, 15.1.0, 16.0.0)
Описание
Функция inode_init_owner в fs/inode.c ядра Linux позволяет локальным пользователям создавать файлы, владельцем которых является непредусмотренная группа, когда, например, каталог имеет права SGID для определенной группы, но доступен для записи пользователю, который не является членом этой группы. Пользователь, не состоящий в группе, может создать обычный файл, который будет принадлежать этой группе. Предполагается, что не-участник группы может создавать каталоги (но не обычные файлы), которые будут принадлежать этой группе. Не-участник может повысить уровень своих привилегий, сделав обычный файл исполняемым с правами SGID.
Как исправить
Используйте рекомендации производителя:
https://my.f5.com/manage/s/article/K00854051
https://my.f5.com/manage/s/article/K00854051
Ссылки
Источник: CVE
Наименование: CVE-2018-13405
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-13405
https://my.f5.com/manage/s/article/K00854051
Наименование: CVE-2018-13405
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-13405
https://my.f5.com/manage/s/article/K00854051