09-09-2005, 02:30 PM
Se ha descubierto una vulnerabilidad local en CVS (versión 1.12.12 y anteriores) que permitiría a atacantes locales realizar escaladas de privilegios en sistemas afectados.
CVS (Concurrent Versions System) es un popular sistema de control de versiones que permite a los programadores acceder a las últimas versiones del código con el que trabajan a través de la red.
El problema se debe a que la aplicación cvsbug hace un uso no seguro de archivos temporales, lo que puede ser aprovechado para ejecutar instrucciones arbitrarias cuando el usuario objetivo del ataque ejecute dicha herramienta (con los privilegios del mismo).
fuente: http://www.hispasec.com/unaaldia/2510
CVS (Concurrent Versions System) es un popular sistema de control de versiones que permite a los programadores acceder a las últimas versiones del código con el que trabajan a través de la red.
El problema se debe a que la aplicación cvsbug hace un uso no seguro de archivos temporales, lo que puede ser aprovechado para ejecutar instrucciones arbitrarias cuando el usuario objetivo del ataque ejecute dicha herramienta (con los privilegios del mismo).
fuente: http://www.hispasec.com/unaaldia/2510