CVE-2001-1322
CVSS3.6
发布时间 :2001-07-10 00:00:00
修订时间 :2008-09-10 15:10:15
NMCO    

[原文]xinetd 2.1.8 and earlier runs with a default umask of 0, which could allow local users to read or modify files that are created by an application that runs under xinetd but does not set its own safe umask.


[CNNVD]xinetd 缺省umask设置不安全(CNNVD-200107-065)

        CVE(CAN) ID: CVE-2001-1322
        
        
        
        Xinetd运行时使用umask=0。这意味着那些使用xinetd的umask并且自己又没有设置权限
        
        的那些应用程序(例如samba软件包中的swat),可能创建全局可写的文件。
        
        
        
        攻击者可能利用这些漏洞来改变文件属性或者获取敏感信息。
        
        
        
        

- CVSS (基础分值)

CVSS分值: 3.6 [轻微(LOW)]
机密性影响: PARTIAL [很可能造成信息泄露]
完整性影响: PARTIAL [可能会导致系统文件被修改]
可用性影响: NONE [对系统可用性无影响]
攻击复杂度: LOW [漏洞利用没有访问限制 ]
攻击向量: LOCAL [漏洞利用需要具有物理访问权限或本地帐户]
身份认证: NONE [漏洞利用无需身份认证]

- CPE (受影响的平台与产品)

cpe:/a:xinetd:xinetd:2.1.8.9_pre2
cpe:/a:xinetd:xinetd:2.1.8.9_pre11
cpe:/a:xinetd:xinetd:2.1.8.9_pre7
cpe:/a:xinetd:xinetd:2.1.8.9_pre13
cpe:/a:xinetd:xinetd:2.1.8.9_pre8
cpe:/a:xinetd:xinetd:2.1.8.9_pre5
cpe:/a:xinetd:xinetd:2.1.8.9_pre3
cpe:/a:xinetd:xinetd:2.1.8.9_pre10
cpe:/a:xinetd:xinetd:2.1.8.9_pre12
cpe:/a:xinetd:xinetd:2.1.8.9_pre15
cpe:/a:xinetd:xinetd:2.1.8.8_pre3
cpe:/a:xinetd:xinetd:2.1.8.9_pre9
cpe:/a:xinetd:xinetd:2.1.8.8
cpe:/a:xinetd:xinetd:2.1.8.9_pre1
cpe:/a:xinetd:xinetd:2.1.8.9_pre4
cpe:/a:xinetd:xinetd:2.1.8.9_pre14

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2001-1322
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2001-1322
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200107-065
(官方数据源) CNNVD

- 其它链接及资源

http://www.linuxsecurity.com/advisories/other_advisory-1469.html
(VENDOR_ADVISORY)  ENGARDE  ESA-20010621-01
http://www.iss.net/security_center/static/6657.php
(VENDOR_ADVISORY)  XF  xinetd-insecure-permissions(6657)
http://www.securityfocus.com/bid/2826
(UNKNOWN)  BID  2826
http://www.redhat.com/support/errata/RHSA-2001-075.html
(UNKNOWN)  REDHAT  RHSA-2001:075
http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-055.php3
(UNKNOWN)  MANDRAKE  MDKSA-2001:055
http://www.debian.org/security/2001/dsa-063
(UNKNOWN)  DEBIAN  DSA-063
http://download.immunix.org/ImmunixOS/7.0/updates/IMNX-2001-70-024-01
(UNKNOWN)  IMMUNIX  IMNX-2001-70-024-01
http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000404
(UNKNOWN)  CONECTIVA  CLA-2001:404

- 漏洞信息

xinetd 缺省umask设置不安全
低危 环境条件错误
2001-07-10 00:00:00 2005-05-02 00:00:00
本地  
        CVE(CAN) ID: CVE-2001-1322
        
        
        
        Xinetd运行时使用umask=0。这意味着那些使用xinetd的umask并且自己又没有设置权限
        
        的那些应用程序(例如samba软件包中的swat),可能创建全局可写的文件。
        
        
        
        攻击者可能利用这些漏洞来改变文件属性或者获取敏感信息。
        
        
        
        

- 公告与补丁

        
        
        厂商补丁:
        
        
        
        RedHat Linux (
        http://www.redhat.com/
)为此发布了一份安全公告 :
        
        [RHSA-2001:075-04] Updated xinetd package available for Red Hat Linux 7 and 7.1
        
        
        
        补丁下载 -
        
        ________________________________________________________________________
        
        Red Hat Linux 7.0:
        
        
        
        SRPMS:
        
        ftp://updates.redhat.com/7.0/en/os/SRPMS/xinetd-2.1.8.9pre15-2.src.rpm
        
        
        
        alpha:
        
        ftp://updates.redhat.com/7.0/en/os/alpha/xinetd-2.1.8.9pre15-2.alpha.rpm
        
        
        
        i386:
        
        ftp://updates.redhat.com/7.0/en/os/i386/xinetd-2.1.8.9pre15-2.i386.rpm
        
        
        
        Red Hat Linux 7.1:
        
        
        
        SRPMS:
        
        ftp://updates.redhat.com/7.1/en/os/SRPMS/xinetd-2.1.8.9pre15-2.src.rpm
        
        
        
        i386:
        
        ftp://updates.redhat.com/7.1/en/os/i386/xinetd-2.1.8.9pre15-2.i386.rpm
        
        
        
        ________________________________________________________________________
        
        
        

- 漏洞信息

1854
xinetd Insecure Default Umask Arbitrary File Modification

- 漏洞描述

Unknown or Incomplete

- 时间线

2001-06-04 Unknow
Unknow Unknow

- 解决方案

Unknown or Incomplete

- 相关参考

- 漏洞作者

Unknown or Incomplete
 

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站