製品・ソフトウェアに関する情報

JVN脆弱性詳細

GNU Automake の dist または distcheck ルールにおけるコンテンツを変更される脆弱性

タイトル	GNU Automake の dist または distcheck ルールにおけるコンテンツを変更される脆弱性
概要	GNU Automake の dist または distcheck ルールには、パッケージの tarball 配布を生成する際に、ビルドツリー以下のディレクトリに安全でないパーミッション (777) を付与する不備があるため、パッケージファイルのコンテンツを変更される脆弱性が存在します。
想定される影響	ローカルユーザにより、パッケージファイルのコンテンツを変更される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2009年12月20日0:00
登録日	2010年4月21日17:51
最終更新日	2010年4月21日17:51

CVSS2.0 : 警告
スコア	4.6
ベクター	AV:L/AC:L/Au:N/C:P/I:P/A:P

影響を受けるシステム

レッドハット

Red Hat Enterprise Linux 5 (server)

RHEL Desktop Workstation 5 (client)

サイバートラスト株式会社

Asianux Server 3 (x86)

Asianux Server 3 (x86-64)

GNU Project

Automake 1.10.3

Automake 1.11.1

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-4029	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4029
GNU Automake
2	CVE-2009-4029 Automake security fix for 'make dist*'	http://lists.gnu.org/archive/html/automake/2009-12/msg00012.html
National Vulnerability Database (NVD)
3	CVE-2009-4029	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-4029

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	名前	URL
Asianux Technical Support Network
1	automake-1.9.6-2.3.AXS3	https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=1027
Red Hat Security Advisory
2	RHSA-2010:0321	https://rhn.redhat.com/errata/RHSA-2010-0321.html

その他

No	名前	URL
Secunia Advisory
1	SA37814	http://secunia.com/advisories/37814
SecurityFocus
2	37378	http://www.securityfocus.com/bid/37378
VUPEN Security
3	VUPEN/ADV-2009-3579	http://www.vupen.com/english/advisories/2009/3579

変更履歴

No	変更内容	変更日
0	[2010年04月21日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2009-4029

概要	The (1) dist or (2) distcheck rules in GNU Automake 1.11.1, 1.10.3, and release branches branch-1-4 through branch-1-9, when producing a distribution tarball for a package that uses Automake, assign insecure permissions (777) to directories in the build tree, which introduces a race condition that allows local users to modify the contents of package files, introduce Trojan horse programs, or conduct other attacks before the build is complete.
概要	Las reglas (1) dist o (2) distcheck en GNU Automake v1.11.1, v1.10.3, branch-1-4 a branch-1-9, cuando se genera una distribución mediante fichero .tar de un paquete que usa Automake, asignan permisos inseguros (777) a los directorios en el árbol de construcción, lo que introduce una condición de carrera que permite modificar, a los usuarios locales, el contenido de los archivos del paquete, la introducción de troyanos, o llevar a cabo otros ataques antes de que la construcción se haya completado.
公表日	2009年12月20日11:30
登録日	2021年1月29日13:25
最終更新日	2026年4月23日9:35

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:gnu:automake:1.10.3:::::::*
cpe:2.3:a:gnu:automake:1.11.1:::::::*
cpe:2.3:a:gnu:automake:branch:1-9::::::

関連情報、対策とツール

No	URL	refsource
1	http://lists.gnu.org/archive/html/automake-patches/2009-11/msg00017.html	secalert@redhat.com
2	http://lists.gnu.org/archive/html/automake/2009-12/msg00010.html	secalert@redhat.com
3	http://lists.gnu.org/archive/html/automake/2009-12/msg00011.html	secalert@redhat.com
4	http://lists.gnu.org/archive/html/automake/2009-12/msg00012.html	secalert@redhat.com
5	http://lists.gnu.org/archive/html/automake/2009-12/msg00013.html	secalert@redhat.com
6	http://savannah.gnu.org/forum/forum.php?forum_id=6077	secalert@redhat.com
7	http://sunsolve.sun.com/search/document.do?assetkey=1-77-1021784.1-1	secalert@redhat.com
8	http://wiki.rpath.com/wiki/Advisories:rPSA-2010-0071	secalert@redhat.com
9	http://www.mandriva.com/security/advisories?name=MDVSA-2010:203	secalert@redhat.com
10	http://www.securityfocus.com/archive/1/514526/100/0/threaded	secalert@redhat.com
11	http://www.vupen.com/english/advisories/2009/3579	secalert@redhat.com
12	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A11717	secalert@redhat.com
13	http://lists.gnu.org/archive/html/automake-patches/2009-11/msg00017.html	af854a3a-2127-422b-91ae-364da2661108
14	http://lists.gnu.org/archive/html/automake/2009-12/msg00010.html	af854a3a-2127-422b-91ae-364da2661108
15	http://lists.gnu.org/archive/html/automake/2009-12/msg00011.html	af854a3a-2127-422b-91ae-364da2661108
16	http://lists.gnu.org/archive/html/automake/2009-12/msg00012.html	af854a3a-2127-422b-91ae-364da2661108
17	http://lists.gnu.org/archive/html/automake/2009-12/msg00013.html	af854a3a-2127-422b-91ae-364da2661108
18	http://savannah.gnu.org/forum/forum.php?forum_id=6077	af854a3a-2127-422b-91ae-364da2661108
19	http://sunsolve.sun.com/search/document.do?assetkey=1-77-1021784.1-1	af854a3a-2127-422b-91ae-364da2661108
20	http://wiki.rpath.com/wiki/Advisories:rPSA-2010-0071	af854a3a-2127-422b-91ae-364da2661108
21	http://www.mandriva.com/security/advisories?name=MDVSA-2010:203	af854a3a-2127-422b-91ae-364da2661108
22	http://www.securityfocus.com/archive/1/514526/100/0/threaded	af854a3a-2127-422b-91ae-364da2661108
23	http://www.vupen.com/english/advisories/2009/3579	af854a3a-2127-422b-91ae-364da2661108
24	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A11717	af854a3a-2127-422b-91ae-364da2661108

共通脆弱性一覧