pesign-115-6.el9.ML.1

エラータID: AXSA:2023-5201:02

リリース日: 
2023/03/07 Tuesday - 06:00
題名: 
pesign-115-6.el9.ML.1
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- pesign には、サービス起動時のシンボリックリンクのチェック処理
が欠落しているため、ローカルの攻撃者により、/etc/pki/pesign
ディレクトリおよび /run/pesign ディレクトリへのシンボリックリンク
の設置を介して、パストラバーサル攻撃を用いた許可されていない
ファイルへのアクセスを可能とする脆弱性が存在します。
(CVE-2022-3560)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2022-3560
A flaw was found in pesign. The pesign package provides a systemd service used to start the pesign daemon. This service unit runs a script to set ACLs for /etc/pki/pesign and /run/pesign directories to grant access privileges to users in the 'pesign' group. However, the script doesn't check for symbolic links. This could allow an attacker to gain access to privileged files and directories via a path traversal attack.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. pesign-115-6.el9.ML.1.src.rpm
    MD5: fa78a2ea5d23e84a70513beffd1eeaed
    SHA-256: 948801d3de92163fe5d60279356377bb99e5c8df3947b8d536cf3a922b6c7ed2
    Size: 145.07 kB

Asianux Server 9 for x86_64
  1. pesign-115-6.el9.ML.1.x86_64.rpm
    MD5: d5b6291cdceaa3fd734bfb017e518168
    SHA-256: 278f9812a8948b515d0d8e5ea2f93d05f7b4a83c51c4b183d34e4d64ffbf3e0a
    Size: 167.16 kB