公開日:2006/08/16 最終更新日:2006/09/21

JVNVU#401660
MIT Kerberos5 (krb5) の ftpd および ksu の権限昇格に関する脆弱性

概要


MIT Kerberos5 (krb5) の ftpd および ksu プログラムには setuid() の戻り値の取扱いに問題があるため、権限昇格の脆弱性が存在します。

影響を受けるシステム


詳しくは、ベンダの提供する情報を参照してください。

詳細情報

想定される影響


認証されたユーザによって、管理者権限で任意のコードを実行される可能性があります。

対策方法

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
アライドテレシス株式会社 該当製品無し 2006/09/20
富士通 該当製品無し 2006/09/01
日本電気 該当製品無し(調査中) 2006/08/16
日立 該当製品無し 2006/08/16
横河電機 該当製品無し(調査中) 2006/08/16

参考情報

  1. MIT krb5 Security Advisory 2006-001
    multiple local privilege escalation vulnerabilities
  2. Vulnerability Note VU#401660
    MIT Kerberos (krb5) ftpd and ksu do not properly validate seteuid() calls

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2006-3084
VU#401660
JVN iPedia