Domov      Nastavenia 
RSS English Slovensky

Foreign Sources
Nahlásené incidenty
1.1.2017 - 31.12.2017
 

Graf

Kritická zraniteľnosť v balíkoch Pacman

15.03.2019
Bola nájdená kritická zraniteľnosť CVE-2019-9686 v manažéri softvérových balíčkov Pacman. Zraniteľnosť umožňuje vykonávanie škodlivého kódu ak si používateľ inštaluje balík zo špeciálnej URL adresy. Ide o útok man-in-the-middle.

 

Dôsledky
Vzdialené vykonávanie škodlivého kódu

Opis činnosti
CVE-2019-9686
Pacman verzie nižšej ako 5.1.3 umožňuje traverzovanie medzi priečinkami pri inštalovaní balíka cez URL adresu príkazom “pacman –U ”. Pacman premenuje stiahnutý balík, aby sa zhodoval s názvom doručeného súboru z hlavičky Content-Disposition. Avšak, nekontroluje, či názov neobsahuje cestu súboru. Škodlivý server alebo útočník v pozícii man-in-the-middle môže potom umiestniť daný súbor kdekoľvek v systéme, čo môže viesť ku vykonávaniu škodlivého kódu až s právami root.

Zraniteľné systémy
Linux manažér balíčkov Pacman, verzie staršie ako 5.1.3-1

Závažnosť zraniteľnosti
Vysoká

Možné škody
Vzdialené vykonávanie kódu

Odporúčania
Bezodkladne aktualizovať Pacman na verziu 5.1.3-1

Odkazy
https://security.archlinux.org/ASA-201903-7
https://nvd.nist.gov/vuln/detail/CVE-2019-9686
https://security-tracker.debian.org/tracker/CVE-2019-9686



<< zoznam oznámení