1.2 CVE-2011-4617
virtualenv.py en virtualenv antes de 1.5 permite a los usuarios locales sobrescribir archivos arbitrarios mediante un ataque de enlace simbólico en un archivo determinado en / tmp /.
https://nvd.nist.gov/vuln/detail/CVE-2011-4617
Categorías
CWE-59 : Resolución inadecuada de enlaces antes del acceso al archivo ("Link Following")
El producto intenta acceder a un archivo basándose en el nombre del archivo, pero no evita adecuadamente que ese nombre de archivo identifique un enlace o acceso directo que resuelva a un recurso no deseado. Algunas personas usan la frase "archivo temporal inseguro" cuando se refieren a una debilidad de seguimiento de enlace, pero otras debilidades pueden producir archivos temporales inseguros sin ninguna implicación de enlace simbólico. El "deslizamiento Zip" es un ataque que utiliza archivos comprimidos (por ejemplo, ZIP, tar, rar, etc.) que contienen nombres de archivo con secuencias de recorrido que hacen que los archivos se escriban fuera del directorio en el que se espera que se extraiga el archivo comprimido [REF-1282]. Se utiliza más comúnmente para atravesar rutas relativas (CWE-23) y seguir enlaces (CWE-59). Algunas versiones de Perl siguen enlaces simbólicos cuando se ejecutan con la opción -e, lo que permite a los usuarios locales sobrescribir archivos arbitrarios mediante un ataque symlink. El editor de texto sigue enlaces simbólicos al crear una copia de rescate durante una salida anormal, lo que permite a los usuarios locales sobrescribir los archivos de otros usuarios. La actualización del antivirus permite a los usuarios locales crear o anexar archivos arbitrarios mediante un ataque de enlace simbólico a un archivo de registro. El ataque Symlink permite a los usuarios locales sobrescribir archivos. El gestor de ventanas no gestiona correctamente cuando determinados enlaces simbólicos apuntan a ubicaciones "obsoletas", lo que podría permitir a los usuarios locales crear o truncar archivos arbitrarios. Vulnerabilidades de enlaces simbólicos de segundo orden Vulnerabilidades de enlaces simbólicos de segundo orden Symlink en el programa Python Setuid product permite la lectura de archivos sustituyendo un archivo que se está editando por un enlace simbólico al archivo objetivo, filtrando el resultado en mensajes de error cuando falla el análisis sintáctico. La señal provoca un volcado que sigue a los enlaces simbólicos. Ataque de enlace duro, sobrescritura de archivos; interesante porque el programa comprueba los enlaces blandos Las vulnerabilidades de seguimiento de enlaces duros y posiblemente enlaces simbólicos en el sistema operativo integrado permiten a los usuarios locales sobrescribir archivos arbitrarios. El servidor crea enlaces duros y desvincula archivos como root, lo que permite a los usuarios locales obtener privilegios borrando y sobrescribiendo archivos arbitrarios. El sistema operativo permite a los usuarios locales llevar a cabo una denegación de servicio mediante la creación de un enlace duro desde un archivo especial del dispositivo a un archivo en un sistema de archivos NFS. El gestor de alojamiento web sigue enlaces duros, lo que permite a los usuarios locales leer o modificar archivos arbitrarios. El sistema de listado de paquetes permite a los usuarios locales sobrescribir archivos arbitrarios mediante un ataque de enlace duro a los archivos de bloqueo. Condición de carrera de enlace duro El cliente de correo permite a atacantes remotos eludir la advertencia de usuario para archivos adjuntos ejecutables como .exe, .com y .bat mediante el uso de un archivo .lnk que hace referencia al archivo adjunto, también conocido como "Stealth Attachment.". El servidor FTP permite a atacantes remotos leer archivos y directorios arbitrarios cargando un archivo .lnk (enlace) que apunta al archivo de destino. El servidor FTP permite a atacantes remotos leer archivos y directorios arbitrarios cargando un archivo .lnk (enlace) que apunta al archivo de destino. El navegador permite a sitios web remotos maliciosos sobrescribir archivos arbitrarios engañando al usuario para que descargue un archivo .LNK (enlace) dos veces, lo que sobrescribe el archivo al que se hacía referencia en el primer archivo .LNK. ".LNK." - Los rootkits pueden eludir las restricciones de acceso a los directorios del núcleo de Windows utilizando la función NtCreateSymbolicLinkObject para crear enlaces simbólicos El sistema de archivos permite a los atacantes locales ocultar las actividades de uso de archivos mediante un enlace duro al archivo de destino, lo que hace que el enlace se registre en el registro de auditoría en lugar del archivo de destino. El plugin del servidor web permite a los usuarios locales sobrescribir archivos arbitrarios mediante un ataque de enlace simbólico a nombres de archivo temporales predecibles. Un Libcontainer utilizado en Docker Engine permite a los usuarios locales escapar de la contenedorización y escribir en un archivo arbitrario en el sistema anfitrión a través de un ataque symlink en una imagen al respawning un contenedor. La vulnerabilidad "Zip Slip" en el producto de registros Open Container Initiative (OCI) basado en Go permite escribir archivos arbitrarios fuera del directorio previsto a través de enlaces simbólicos o enlaces duros en un tarball comprimido con gzip. La vulnerabilidad "Zip Slip" en el producto de gestión de contenedores permite escribir archivos arbitrarios fuera del directorio previsto a través de una imagen de contenedor (formato .tar) con nombres de archivo que son enlaces simbólicos que apuntan a otros archivos dentro del mismo archivo tar; sin embargo, los archivos a los que apuntan también pueden ser enlaces simbólicos a destinos fuera del directorio previsto, eludiendo la comprobación inicial.
Referencias
CONFIRM
FEDORA
SECUNIA
_MLIST
CPE
| cpe |
iniciar |
fin |
| Configuration 1 |
| cpe:2.3:a:python:virtualenv:0.8:*:*:*:*:*:*:* |
|
|
| cpe:2.3:a:python:virtualenv:0.8.1:*:*:*:*:*:*:* |
|
|
| cpe:2.3:a:python:virtualenv:0.8.2:*:*:*:*:*:*:* |
|
|
| cpe:2.3:a:python:virtualenv:0.8.3:*:*:*:*:*:*:* |
|
|
| cpe:2.3:a:python:virtualenv:0.8.4:*:*:*:*:*:*:* |
|
|
| cpe:2.3:a:python:virtualenv:0.9:*:*:*:*:*:*:* |
|
|
| cpe:2.3:a:python:virtualenv:0.9.1:*:*:*:*:*:*:* |
|
|
| cpe:2.3:a:python:virtualenv:0.9.2:*:*:*:*:*:*:* |
|
|
| cpe:2.3:a:python:virtualenv:1.0:*:*:*:*:*:*:* |
|
|
| cpe:2.3:a:python:virtualenv:1.1:*:*:*:*:*:*:* |
|
|
| cpe:2.3:a:python:virtualenv:1.1.1:*:*:*:*:*:*:* |
|
|
| cpe:2.3:a:python:virtualenv:1.2:*:*:*:*:*:*:* |
|
|
| cpe:2.3:a:python:virtualenv:1.3:*:*:*:*:*:*:* |
|
|
| cpe:2.3:a:python:virtualenv:1.3.1:*:*:*:*:*:*:* |
|
|
| cpe:2.3:a:python:virtualenv:1.3.2:*:*:*:*:*:*:* |
|
|
| cpe:2.3:a:python:virtualenv:1.3.3:*:*:*:*:*:*:* |
|
|
| cpe:2.3:a:python:virtualenv:1.3.4:*:*:*:*:*:*:* |
|
|
| cpe:2.3:a:python:virtualenv:1.4:*:*:*:*:*:*:* |
|
|
| cpe:2.3:a:python:virtualenv:1.4.1:*:*:*:*:*:*:* |
|
|
| cpe:2.3:a:python:virtualenv:1.4.2:*:*:*:*:*:*:* |
|
|
| cpe:2.3:a:python:virtualenv:1.4.3:*:*:*:*:*:*:* |
|
|
| cpe:2.3:a:python:virtualenv:1.4.4:*:*:*:*:*:*:* |
|
|
| cpe:2.3:a:python:virtualenv:1.4.5:*:*:*:*:*:*:* |
|
|
| cpe:2.3:a:python:virtualenv:1.4.6:*:*:*:*:*:*:* |
|
|
| cpe:2.3:a:python:virtualenv:1.4.7:*:*:*:*:*:*:* |
|
|
| cpe:2.3:a:python:virtualenv:1.4.8:*:*:*:*:*:*:* |
|
|
| cpe:2.3:a:python:virtualenv:*:*:*:*:*:*:*:* |
|
<= 1.4.9 |
REMEDIACIÓN
EXPLOTA
Exploit-db.com
| id |
descripción |
fecha |
|
| No hay exploits conocidos |
Otros (github, ...)
| Url |
| No hay exploits conocidos |
CAPEC
Common Attack Pattern Enumerations and Classifications
| id |
descripción |
gravedad |
| 132 |
Symlink Attack
Un adversario posiciona un enlace simbólico de tal manera que el usuario o la aplicación objetivo accede al punto final del enlace, asumiendo que está accediendo a un archivo con el nombre del enlace. [Identificar el objetivo] El adversario identifica la aplicación objetivo determinando si hay una comprobación suficiente antes de escribir datos en un archivo y creando enlaces simbólicos a archivos en diferentes directorios. [Intentar crear enlaces simbólicos a diferentes archivos] El adversario utiliza entonces una variedad de técnicas, como la monitorización o la adivinación para crear enlaces simbólicos a los archivos a los que accede la aplicación objetivo en los directorios que se identifican en la fase de exploración. [El adversario es capaz de crear enlaces simbólicos a archivos sensibles mientras la aplicación objetivo está operando en el archivo. |
Alto |
| 17 |
Uso de archivos maliciosos
Un ataque de este tipo explota la configuración de un sistema que permite a un adversario acceder directamente a un archivo ejecutable, por ejemplo, a través de un acceso shell; o en un posible peor caso permite a un adversario cargar un archivo y luego ejecutarlo. Los servidores web, los servidores ftp y los sistemas de middleware orientados a mensajes que tienen muchos puntos de integración son particularmente vulnerables, porque tanto los programadores como los administradores deben estar sincronizados con respecto a las interfaces y los privilegios correctos para cada interfaz. [Determinar la configuración de archivos/directorios] El adversario busca archivos o directorios mal configurados en un sistema que puedan dar acceso ejecutable a un grupo demasiado amplio de usuarios. [Cargar archivos maliciosos] Si el adversario descubre un directorio que tiene permisos de ejecución, intentará cargar un archivo malicioso para ejecutarlo. [Ejecutar archivo malicioso] El adversario ejecuta el archivo malicioso cargado, o ejecuta un archivo existente que ha sido mal configurado para permitir el acceso ejecutable al adversario. |
Muy alto |
| 35 |
Aprovechar el código ejecutable en archivos no ejecutables
Un ataque de este tipo explota la confianza de un sistema en los archivos de configuración y recursos. Cuando el ejecutable carga el recurso (como un archivo de imagen o un archivo de configuración) el atacante ha modificado el archivo para ejecutar código malicioso directamente o manipular el proceso de destino (por ejemplo, el servidor de aplicaciones) para que se ejecute basándose en los parámetros de configuración maliciosos. Dado que los sistemas están cada vez más interrelacionados, mezclando recursos de fuentes locales y remotas, la posibilidad de que se produzca este ataque es alta. |
Muy alto |
| 76 |
Manipulación de la entrada web a las llamadas del sistema de archivos
Un atacante manipula las entradas del software de destino que éste pasa a las llamadas del sistema de archivos en el SO. El objetivo es obtener acceso, y tal vez modificar, áreas del sistema de archivos a las que el software de destino no tenía intención de acceder. [Para crear una inyección de archivos válida, el atacante necesita saber cuál es el sistema operativo subyacente para utilizar el separador de archivos adecuado. [Inspeccionar la aplicación para identificar las entradas controlables por el usuario] El atacante inspecciona la aplicación objetivo para identificar todas las entradas controlables por el usuario, posiblemente como un usuario válido y autenticado [Variar las entradas, buscando resultados maliciosos] Dependiendo de si la aplicación que se está explotando es remota o local, el atacante crea la entrada maliciosa apropiada que contenga la ruta del archivo objetivo u otra sintaxis de control del sistema de archivos para pasarla a la aplicación [Manipular los archivos accesibles por la aplicación] El atacante puede robar información o manipular directamente los archivos (borrar, copiar, flush, etc.) |
Muy alto |
MITRE
Técnicas
| id |
descripción |
| T1027.006 |
Archivos o información ofuscados: Contrabando de HTML |
| T1027.009 |
Archivos o información ofuscados: Cargas útiles incrustadas |
| T1547.009 |
Ejecución automática de arranque o inicio de sesión:Modificación del acceso directo |
| T1564.009 |
Ocultar artefactos: Bifurcación de recursos |
| T1574.005 |
Flujo de ejecución de secuestros: Debilidad en los permisos de los archivos ejecutables de instalación |
| T1574.010 |
Flujo de ejecución de secuestros: Debilidad en los permisos de ServicesFile |
| © 2022 The MITRE Corporation. Esta obra se reproduce y distribuye con el permiso de The MITRE Corporation. |
Mitigación
| id |
descripción |
| T1027.009 |
En Windows 10, active las reglas de reducción de la superficie de ataque (ASR) para evitar la ejecución de secuencias de comandos potencialmente ofuscadas. |
| T1547.009 |
Limite los permisos para quién puede crear enlaces simbólicos en Windows a los grupos apropiados como Administradores y grupos necesarios para la virtualización. Esto se puede hacer a través de GPO: Configuración del equipo > [Directivas] > Configuración de Windows > Configuración de seguridad > Directivas locales > Asignación de derechos de usuario: Crear enlaces simbólicos. |
| T1564.009 |
Configure las aplicaciones para que utilicen la estructura de paquetes de aplicaciones que aprovecha la ubicación de la carpeta <code>/Resources</code>. |
| T1574.005 |
|
| T1574.010 |
|
| © 2022 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation. |
Sherlock® flash
Haz una foto de tu red informática en unos pocos clics !
La solución de auditoría Sherlock® flash le permite realizar una auditoría para reforzar la seguridad de sus activos informáticos. Escaneo de vulnerabilidad de sus equipos físicos y virtuales. Planificación de parches por nivel de prioridad y tiempo disponible. Informes detallados e intuitivos.
Descubra esta oferta
