| タイトル | libdbus における権限を取得される脆弱性 |
|---|---|
| 概要 | libdbus は、X.org などの製品において、setuid またはその他の特権的プログラムで使用される場合、権限を取得される、および任意のコードを実行される脆弱性が存在します。 |
| 想定される影響 | ローカルユーザにより、DBUS_SYSTEM_BUS_ADDRESS 環境変数を介して、権限を取得される、および任意のコードを実行される可能性があります。 |
| 対策 | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2012年9月18日0:00 |
| 登録日 | 2012年9月20日15:14 |
| 最終更新日 | 2012年11月9日10:42 |
| CVSS2.0 : 警告 | |
| スコア | 6.9 |
|---|---|
| ベクター | AV:L/AC:M/Au:N/C:C/I:C/A:C |
| D-Bus |
| libdbus 1.5.x およびそれ以前 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2012年09月20日] 掲載 [2012年10月23日] ベンダ情報:オラクル (CVE-2012-3524 Permissions, Privileges, and Access Controls vulnerability in libdbus) を追加 [2012年11月09日] ベンダ情報:Ubuntu (USN-1576-1) を追加 ベンダ情報:Ubuntu (USN-1576-2) を追加 ベンダ情報:openSUSE (openSUSE-SU-2012:1287) を追加 |
2018年2月17日10:37 |
| 概要 | libdbus 1.5.x and earlier, when used in setuid or other privileged programs in X.org and possibly other products, allows local users to gain privileges and execute arbitrary code via the DBUS_SYSTEM_BUS_ADDRESS environment variable. NOTE: libdbus maintainers state that this is a vulnerability in the applications that do not cleanse environment variables, not in libdbus itself: "we do not support use of libdbus in setuid binaries that do not sanitize their environment before their first call into libdbus." |
|---|---|
| 公表日 | 2012年9月19日2:55 |
| 登録日 | 2021年1月28日15:00 |
| 最終更新日 | 2024年11月21日10:41 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:freedesktop:libdbus:1.5.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:freedesktop:libdbus:1.5.6:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:freedesktop:libdbus:1.5.8:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:freedesktop:libdbus:1.5.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:freedesktop:libdbus:1.5.10:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:freedesktop:libdbus:*:*:*:*:*:*:*:* | 1.5.12 | ||||
| cpe:2.3:a:freedesktop:libdbus:1.5.4:*:*:*:*:*:*:* | |||||