Vulnerability Bulletins |
Escalada de privilegios en Vixie Cron |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Aumento de privilegios |
| Dificulty | Experto |
| Required attacker level | Acceso remoto con cuenta |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software | Vixie Cron |
Description |
|
|
Se ha descubierto una vulnerabilidad en Vixie Cron. La vulnerabilidad reside en que el código de "do_command.c" no comprueba códigos de retorno de llamadas setuid. Un atacante local podría obtener privilegios de root si la llamada a setuid falla por ejemplo en casos como errores de PAM (pluggable authentication modules) o límites de recursos. El problema solo afecta a sistemas basados en el kernel 2.6. |
|
Solution |
|
|
Actualización de software Suse Linux Las actualizaciones pueden descargarse mediante YAST o del servidor FTP oficial de Suse Linux Red Hat Red Hat Desktop (v. 4) Red Hat Enterprise Linux AS (v. 4) Red Hat Enterprise Linux ES (v. 4) Red Hat Enterprise Linux WS (v. 4) https://rhn.redhat.com/ |
|
Standar resources |
|
| Property | Value |
| CVE | CVE-2006-2607 |
| BID | |
Other resources |
|
|
SUSE Security Advisory (SUSE-SA:2006:027) http://www.novell.com/linux/security/advisories/2006-05-32.html Red Hat Security Advisory (RHSA-2006:0539-9) https://rhn.redhat.com/errata/RHSA-2006-0539.html |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2006-06-02 |
| 1.1 | Aviso emitido por Red Hat (RHSA-2006:0539-9) | 2006-07-13 |