漏洞标题
Apport在读取用户~/.apport-ignore.xml时存在TOCTTOU漏洞
漏洞描述信息
在Apport 2.14.1-0ubuntu3.29+esm1,2.20.1-0ubuntu2.19,2.20.9-0ubuntu7.7,2.20.10-0ubuntu27.1,2.20.11-0ubuntu5之前的版本中,当读取用户~/.apport-ignore.xml文件时存在TOCTTOU漏洞,这允许本地攻击者将此文件替换为指向系统上任何其他文件的符号链接,从而导致Apport将此其他文件的内容包含在生成的崩溃报告中。然后,攻击者可以通过触发其上传并报告到Launchpad,或利用其他漏洞读取生成的崩溃报告来读取该用户崩溃报告,进而允许用户读取系统上的任意文件。
CVSS信息
CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
Apport contains a TOCTTOU vulnerability when reading the users ~/.apport-ignore.xml
漏洞描述信息
Apport before versions 2.14.1-0ubuntu3.29+esm1, 2.20.1-0ubuntu2.19, 2.20.9-0ubuntu7.7, 2.20.10-0ubuntu27.1, 2.20.11-0ubuntu5 contained a TOCTTOU vulnerability when reading the users ~/.apport-ignore.xml file, which allows a local attacker to replace this file with a symlink to any other file on the system and so cause Apport to include the contents of this other file in the resulting crash report. The crash report could then be read by that user either by causing it to be uploaded and reported to Launchpad, or by leveraging some other vulnerability to read the resulting crash report, and so allow the user to read arbitrary files on the system.
CVSS信息
N/A
漏洞类别
检查时间与使用时间(TOCTOU)的竞争条件
漏洞标题
Apport 竞争条件问题漏洞
漏洞描述信息
Apport是一款用于收集并反馈错误信息(当应用程序崩溃时操作系统认为有用的信息)的工具包。 Apport中存在竞争条件问题漏洞。攻击者可利用该漏洞获取崩溃报告中的敏感信息。
CVSS信息
N/A
漏洞类别
竞争条件问题