GLSA 200704-11: Vixie Cron: Denial of Service
| Опасность: | низкая |
| Заголовок: | Vixie Cron: Denial of Service |
| Дата: | 16.04.2007 |
| Ошибки: | |
| ID: | 200704-11 |
Сводка
The Gentoo implementation of Vixie Cron is vulnerable to a local Denial of Service.Назначение
Vixie Cron is a command scheduler with extended syntax over cron.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| sys-process/vixie-cron | < 4.1-r10 | >= 4.1-r10 | All supported architectures |
Описание
During an internal audit, Raphael Marichez of the Gentoo Linux Security Team found that Vixie Cron has weak permissions set on Gentoo, allowing for a local user to create hard links to system and users cron files, while a st_nlink check in database.c will generate a superfluous error.
Воздействие
Depending on the partitioning scheme and the "cron" group membership, a malicious local user can create hard links to system or users cron files that will trigger the st_link safety check and prevent the targeted cron file from being run from the next restart or database reload.
Обход
There is no known workaround at this time.
Решение
All Vixie Cron users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=sys-process/vixie-cron-4.1-r10"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.