FreeBSD:kde-workspace -- 权限升级 (dafa13a8-6e9b-11e4-8ef7-5453ed2e2b49)
high Nessus 插件 ID 79301
语言:
简介
远程 FreeBSD 主机缺少与安全相关的更新。描述
David Edmundson 报告:用于设置日期和时间的 KDE 工作区配置模块存在一个帮助程序,此程序以根权限运行以执行操作。这受到 polkit 保护。
此帮助程序将 ntp 实用工具的名称作为参数运行。
这允许黑客在更新时间的伪装下以根权限运行任意命令。
应用程序可通过误导信息或不进行交互来从 admin 用户获取根权限。
在某些系统上,用户将收到更改时间的提示。
但是,如果系统已安装 policykit-desktop-privileges,则 admin 用户将在没有任何提示的情况下调用日期时间帮助程序。
解决方案
更新受影响的程序包。另见
插件详情
严重性: High
ID: 79301
文件名: freebsd_pkg_dafa13a86e9b11e48ef75453ed2e2b49.nasl
版本: 1.6
类型: local
发布时间: 2014/11/18
最近更新时间: 2021/1/6
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 7.2
矢量: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C
漏洞信息
CPE: cpe:/o:freebsd:freebsd, p-cpe:/a:freebsd:freebsd:kde-workspace
必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
补丁发布日期: 2014/11/17
漏洞发布日期: 2014/11/6
参考资料信息
CVE: CVE-2014-8651