FreeBSDで権限昇格の脆弱性 - NTTデータ・セキュリティ
FreeBSDの「Run-Time Link Editor」において、一般ユーザーに管理者権限が奪われる脆弱性が存在していることがわかった。
脆弱性の影響を受けるのは、「FreeBSD 8.0」「同7.2」「同7.1」「同7.0」。一般ユーザーでログインした環境において攻撃コードを実行すると権限の昇格が発生し、管理者権限でシステムの操作が可能となるもので、修正プログラムも用意されている。
脆弱性に関する実証レポートを公表したNTTデータ・セキュリティでは、修正プログラムの適用を検討を呼びかけている。
また根本的な解決ではなく、一時的な回避策ではあるものの、パスワードが脆弱なリモートユーザーのアカウント経由で外部から侵入を許し、管理者権限が奪われる可能性があるとして、ユーザーのパスワード管理や、存在しないユーザーの削除など回避策を実施するようアナウンスしている。
NTTデータ・セキュリティ
http://www.nttdata-sec.co.jp/
(Security NEXT - 2009/12/07 )
ツイート
PR
関連記事
「SAP」が月例更新、16件の新規アドバイザリ - 3件が「クリティカル」
「nginx」に複数脆弱性、「クリティカル」も - 修正版を公開
「Oracle EBS」やビル設備向けプロトコルの脆弱性を悪用する攻撃
「Veeam Updater」に権限昇格の脆弱性 - root権限取得のおそれ
Windows版「Zoom」に深刻な脆弱性 - 最新版で修正済み
米セキュリティ当局、5件の悪用脆弱性に注意喚起
「Firefox」にクリティカル脆弱性 - 攻撃コード公開、悪用は未確認
「Chrome」にセキュ更新 - 「クリティカル」2件含む15件を修正
MS月例パッチで500件以上の脆弱性に対応 - ゼロデイ脆弱性も
「VMware Avi Load Balancer」に複数脆弱性 - 「クリティカル」も
