Miembros de
Boletines de Vulnerabilidades |
Escalada de privilegios en Vixie Cron |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Aumento de privilegios |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | GNU/Linux |
| Software afectado | Vixie Cron |
Descripción |
|
|
Se ha descubierto una vulnerabilidad en Vixie Cron. La vulnerabilidad reside en que el código de "do_command.c" no comprueba códigos de retorno de llamadas setuid. Un atacante local podría obtener privilegios de root si la llamada a setuid falla por ejemplo en casos como errores de PAM (pluggable authentication modules) o límites de recursos. El problema solo afecta a sistemas basados en el kernel 2.6. |
|
Solución |
|
|
Actualización de software Suse Linux Las actualizaciones pueden descargarse mediante YAST o del servidor FTP oficial de Suse Linux Red Hat Red Hat Desktop (v. 4) Red Hat Enterprise Linux AS (v. 4) Red Hat Enterprise Linux ES (v. 4) Red Hat Enterprise Linux WS (v. 4) https://rhn.redhat.com/ |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CVE-2006-2607 |
| BID | |
Recursos adicionales |
|
|
SUSE Security Advisory (SUSE-SA:2006:027) http://www.novell.com/linux/security/advisories/2006-05-32.html Red Hat Security Advisory (RHSA-2006:0539-9) https://rhn.redhat.com/errata/RHSA-2006-0539.html |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2006-06-02 |
| 1.1 | Aviso emitido por Red Hat (RHSA-2006:0539-9) | 2006-07-13 |