GLSA 201709-12: Perl: Race condition vulnerability
| Опасность: | средняя |
| Заголовок: | Perl: Race condition vulnerability |
| Дата: | 17.09.2017 |
| Ошибки: | |
| ID: | 201709-12 |
Сводка
A vulnerability in module File::Path for Perl allows local attackers to set arbitrary mode values on arbitrary files bypassing security restrictions.Назначение
File::Path module provides a convenient way to create directories of arbitrary depth and to delete an entire directory subtree from the filesystem.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| dev-lang/perl | < 5.24.1-r2 | >= 5.24.1-r2 | All supported architectures |
| perl-core/File-Path | < 2.130.0 | >= 2.130.0 | All supported architectures |
| virtual/perl-File-Path | < 2.130.0 | >= 2.130.0 | All supported architectures |
Описание
A race condition occurs within concurrent environments. This condition was discovered by The cPanel Security Team in the rmtree and remove_tree functions in the File-Path module before 2.13 for Perl. This is due to the time-of-check-to-time-of-use (TOCTOU) race condition between the stat() that decides the inode is a directory and the chmod() that tries to make it user-rwx.
Воздействие
A local attacker could exploit this condition to set arbitrary mode values on arbitrary files and hence bypass security restrictions.
Обход
There is no known workaround at this time.
Решение
All Perl users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=dev-lang/perl-5.24.1-r2"
All File-Path users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=perl-core/File-Path-2.130.0"
All Perl-File-Path users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=virtual/perl-File-Path-2.130.0"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.