Podatność typu UNIX Symbolic Link (Symlink) Following w pakiecie cyrus-imapd dla openSUSE Tumbleweed umożliwia eskalację uprawnień z konta użytkownika 'cyrus' do uprawnień root. Podatność jest oceniana jako krytyczna z wynikiem CVSS 9.8.
▸ Pokaż oryginał (EN)
A UNIX Symbolic Link (Symlink) Following vulnerability in openSUSE Tumbleweed cyrus-imapd allows escalation from cyrus to root.This issue affects openSUSE Tumbleweed cyrus-imapd before 3.8.4-2.1.
Błąd polega na nieprawidłowej obsłudze dowiązań symbolicznych (symlink) przez proces działający w kontekście użytkownika 'cyrus'. Atakujący posiadający dostęp do tego konta może spreparować symlink wskazujący na uprzywilejowane zasoby systemowe, co prowadzi do wykonania operacji plikowych w kontekście roota. Jest to klasyczny przypadek CWE-61, gdzie aplikacja podąża za dowiązaniem symbolicznym bez odpowiedniej weryfikacji jego celu.
Atakujący z dostępem do konta 'cyrus' może uzyskać pełne uprawnienia administratora systemu (root), co umożliwia przejęcie całkowitej kontroli nad systemem operacyjnym, w tym odczyt, modyfikację lub usunięcie dowolnych plików.
Należy zaktualizować pakiet cyrus-imapd do wersji 3.8.4-2.1 lub nowszej w systemie openSUSE Tumbleweed. Szczegóły dostępne w referencjach producenta pod adresem bugzilla.suse.com.
openSUSE Tumbleweed z pakietem cyrus-imapd w wersjach przed 3.8.4-2.1
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H