PT-2020-7602 · Canonical · Ubuntu Ui Toolkit
Olivier Tilloy
+1
·
Publicado
2020-09-10
·
Atualizado
2020-09-16
·
CVE-2014-1420
CVSS v3.1
3.8
Baixa
| Vetor | AV:L/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Ubuntu UI Toolkit anteriores à 1.1.1188+14.10.20140813.4-0ubuntu1
Descrição
O problema diz respeito ao componente StateSaver no Ubuntu UI Toolkit, que serializa dados para arquivos tmp/. Isso poderia permitir que um invasor expusesse dados potencialmente confidenciais. Além disso, o StateSaver abre arquivos sem o sinalizador O EXCL, possibilitando que um invasor lance um ataque de link simbólico. No entanto, esse risco é parcialmente mitigado pelas restrições do Ubuntu a links simbólicos e links físicos.
Recomendações
Para versões anteriores à 1.1.1188+14.10.20140813.4-0ubuntu1, atualize para a versão 1.1.1188+14.10.20140813.4-0ubuntu1 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos arquivos tmp/ usados pelo StateSaver para minimizar o risco de exploração.
Correção
Deserialization of Untrusted Data
Link Following
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Ubuntu Ui Toolkit