oddjob-0.34.5-3.el8

エラータID: AXSA:2021-1235:01

リリース日: 
2021/01/17 Sunday - 02:37
題名: 
oddjob-0.34.5-3.el8
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- oddjob で提供されている mkhomedir ツールには競合状態が発生する問題があり、
競合状態でホームディレクトリを作成すると /etc/skel ディレクトリを
新しいホームディレクトリにコピーした後、ホームディレクトリのパスを
正しくチェックせずに、オーナーを新しいホームディレクトリのユーザーに
変更してしまうため、攻撃者がターゲットフォルダへのシンボリックリンクを
作成することで、フォルダのオーナーを特権を持たない新しいホームディレクトリの
ユーザーに変更できてしまう脆弱性があります。(CVE-2020-10737)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2020-10737
A race condition was found in the mkhomedir tool shipped with the oddjob package in versions before 0.34.5 and 0.34.6 wherein, during the home creation, mkhomedir copies the /etc/skel directory into the newly created home and changes its ownership to the home's user without properly checking the homedir path. This flaw allows an attacker to leverage this issue by creating a symlink point to a target folder, which then has its ownership transferred to the new home directory's unprivileged user.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. oddjob-0.34.5-3.el8.src.rpm
    MD5: 4b1085c140dcb55c97078c5eb955683e
    SHA-256: 4213e88808530bd34e77271b5d13e8293603c21f7e4730c66d74874c9a2897fc
    Size: 475.56 kB

Asianux Server 8 for x86_64
  1. oddjob-0.34.5-3.el8.x86_64.rpm
    MD5: e442a698afd718c68ba896d4eace9057
    SHA-256: 08d26c5d33c3d7a1d9d50c0c9ae34985caeaea9bf392caa3dc4ef4406b69ded5
    Size: 78.88 kB
  2. oddjob-mkhomedir-0.34.5-3.el8.x86_64.rpm
    MD5: 0a9d13baf95950e8048cf69b52b15c7c
    SHA-256: 9fc0333e9a50c0e1cdc9d07fff55e33d20686c56e70c897199f298100283ed77
    Size: 47.68 kB