Miembros de
Boletines de Vulnerabilidades |
Creación insegura de ficheros temporales en ee |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Integridad |
| Dificultad | Avanzado |
| Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | UNIX |
| Software afectado | ee |
Descripción |
|
|
Se ha descubierto una vulnerabilidad en ee. La vulnerabilidad reside en que cuando se usa las operaciones de comprobación ortográfica se crea un fichero temporal de forma insegura basado en el ID del proceso. Un atacante local podría sobrescribir ficheros arbitrarios mediante un ataque de enlace simbólico. No es necesario que ispell esté instalado para que este ataque pueda ser explotado tan solo es necesario activar la opción de corrección ortográfica. |
|
Solución |
|
|
Actualización de software FreeBSD FreeBSD 4.10, 4.11, 5.3, 5.4, 6.0 ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-06:02/ee.patch |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CVE-2006-0055 |
| BID | |
Recursos adicionales |
|
|
FreeBSD Security Advisory (FreeBSD-SA-06:02.ee) ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:02.ee.asc |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2006-01-12 |