Vulnerability Bulletins |
Creación insegura de ficheros temporales en ee |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Integridad |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto con cuenta |
System information |
|
| Property | Value |
| Affected manufacturer | UNIX |
| Affected software | ee |
Description |
|
|
Se ha descubierto una vulnerabilidad en ee. La vulnerabilidad reside en que cuando se usa las operaciones de comprobación ortográfica se crea un fichero temporal de forma insegura basado en el ID del proceso. Un atacante local podría sobrescribir ficheros arbitrarios mediante un ataque de enlace simbólico. No es necesario que ispell esté instalado para que este ataque pueda ser explotado tan solo es necesario activar la opción de corrección ortográfica. |
|
Solution |
|
|
Actualización de software FreeBSD FreeBSD 4.10, 4.11, 5.3, 5.4, 6.0 ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-06:02/ee.patch |
|
Standar resources |
|
| Property | Value |
| CVE | CVE-2006-0055 |
| BID | |
Other resources |
|
|
FreeBSD Security Advisory (FreeBSD-SA-06:02.ee) ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:02.ee.asc |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2006-01-12 |