GLSA-201603-04：FUSE：环境变量的错误筛选导致权限升级

low Nessus 插件 ID 89810

语言：

简介

远程 Gentoo 主机缺少一个或多个与安全有关的修补程序。

描述

远程主机受到 GLSA-201603-04 中所述漏洞的影响（FUSE：环境变量的错误筛选导致权限升级）

fusermount 二进制在调用 /bin/mount 时，会借助 setuid(geteuid()) 来重置 RUID，使其可使用有权限的挂载选项，若 RUID != EUID，这些选项通常会受到限制。FUSE 未正确清理环境变量，便以根用户的身份调用 mount 或 umount，进而允许使用提升的权限将其传递至操作，例如 mount 命令调试程序使用的 LIBMOUNT_MTAB。
影响：

FUSE 漏洞允许本地非特权用户覆盖系统中的任意文件。
变通方案：

当前无任何已知的变通方案。

解决方案

所有 FUSE 用户都应升级到最新版本：
# emerge --sync # emerge --ask --oneshot --verbose '>=sys-fs/fuse-2.9.4'

另见

https://security.gentoo.org/glsa/201603-04

插件详情

严重性: Low

ID: 89810

文件名: gentoo_GLSA-201603-04.nasl

版本: 2.4

类型: local

系列: Gentoo Local Security Checks

发布时间: 2016/3/10

最近更新时间: 2021/1/11

支持的传感器: Nessus

风险信息

VPR

风险因素: High

分数: 7.4

CVSS v2

风险因素: Low

基本分数: 3.6

时间分数: 3

矢量: CVSS2#AV:L/AC:L/Au:N/C:N/I:P/A:P

漏洞信息

CPE: p-cpe:/a:gentoo:linux:fuse, cpe:/o:gentoo:linux

必需的 KB 项: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2016/3/9

可利用的方式

Core Impact

参考资料信息

CVE: CVE-2015-3202

GLSA: 201603-04