keepalived-1.3.5-16.el7
エラータID: AXSA:2019-4318:03
リリース日:
2019/09/25 Wednesday - 08:23
題名:
keepalived-1.3.5-16.el7
影響のあるチャネル:
Asianux Server 7 for x86_64
Severity:
Moderate
Description:
以下項目について対処しました。
[Security Fix]
- keepalivedには、テンポラリファイルに書き込んでいるときに、シンボリック リンク
を伴うパスネームをチェックしていなかったため、fs.protected_symlinks が 0
にセットされていたときに、ローカルユーザーに任意のファイルを上書きするこ とを
許してしまう脆弱性があります。(CVE-2018-19044)
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2018-19044
keepalived 2.0.8 didn't check for pathnames with symlinks when writing data to a temporary file upon a call to PrintData or PrintStats. This allowed local users to overwrite arbitrary files if fs.protected_symlinks is set to 0, as demonstrated by a symlink from /tmp/keepalived.data or /tmp/keepalived.stats to /etc/passwd.
keepalived 2.0.8 didn't check for pathnames with symlinks when writing data to a temporary file upon a call to PrintData or PrintStats. This allowed local users to overwrite arbitrary files if fs.protected_symlinks is set to 0, as demonstrated by a symlink from /tmp/keepalived.data or /tmp/keepalived.stats to /etc/passwd.
追加情報:
N/A
ダウンロード:
SRPMS
- keepalived-1.3.5-16.el7.src.rpm
MD5: 78283cd0aa40dac038abf5a6fb755c63
SHA-256: 5bf0d4859343a59d82b751e3804915904e4625c55d934de8b904830b8af3230f
Size: 717.66 kB
Asianux Server 7 for x86_64
- keepalived-1.3.5-16.el7.x86_64.rpm
MD5: a7e343ce66bcf571ea7a54d139e52073
SHA-256: 52ec62b67d0e32c2a3e99853c0a658ced3d23e4f1b52c2e572fb1b0cfcfc1d0a
Size: 330.49 kB