一、 漏洞 CVE-2020-14367 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在 chrony 版本在 3.5.1 之前存在时,发现了一个漏洞。在 /var/run/chrony 文件夹下创建一个 PID 文件。此文件在 chronyd 启动时以 root 用户身份创建,并在打开时,chronyd 未检查具有相同文件名的现有链接。这个漏洞允许具有特权攻击者创建一个默认 PID 文件名指向系统任何目标文件的 symlink,导致数据丢失和由于路径穿越而无法提供服务。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A flaw was found in chrony versions before 3.5.1 when creating the PID file under the /var/run/chrony folder. The file is created during chronyd startup while still running as the root user, and when it's opened for writing, chronyd does not check for an existing symbolic link with the same file name. This flaw allows an attacker with privileged access to create a symlink with the default PID file name pointing to any destination file in the system, resulting in data loss and a denial of service due to the path traversal.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在文件访问前对链接解析不恰当(链接跟随)
来源:美国国家漏洞数据库 NVD
漏洞标题
chrony 后置链接漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
chrony 3.5.1之前版本存在安全漏洞,该漏洞可导致数据丢失或拒绝服务。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
后置链接
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2020-14367 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2020-14367 的情报信息