Vulnerabilidad en el controlador foo2zjs (CVE-2011-2684)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-59
Incorrecta resolución de una ruta antes de aceder a un fichero (Seguimiento de enlaces)
Fecha de publicación:
23/10/2017
Última modificación:
20/04/2025
Descripción
foo2zjs en versiones anteriores a la 20110722dfsg-3ubuntu1, tal y como viene incorporado en Ubuntu, en su versión 20110722dfsg-1 tal y como viene en la distribución no estable de Debian y 20090908dfsg-5.1+squeeze0 tal y como viene en Debian squeeze, crea archivos temporales de manera insegura, lo que permite que los usuarios locales escriban sobre archivos arbitrarios mediante un ataque symlink a /tmp/foo2zjs.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
2.10
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:rkkda:foo2zjs:20090908dfsg-5.1\+squeeze0:*:*:*:*:debian:*:* | ||
| cpe:2.3:a:rkkda:foo2zjs:20110722dfsg-1:*:*:*:*:debian:*:* | ||
| cpe:2.3:a:rkkda:foo2zjs:20110722dfsg-3ubuntu1:*:*:*:*:ubuntu:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2011/07/06/10
- http://www.openwall.com/lists/oss-security/2014/02/08/5
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=633870
- https://bugs.launchpad.net/ubuntu/+source/foo2zjs/+bug/805370
- https://security-tracker.debian.org/tracker/CVE-2011-2684/
- http://www.openwall.com/lists/oss-security/2011/07/06/10
- http://www.openwall.com/lists/oss-security/2014/02/08/5
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=633870
- https://bugs.launchpad.net/ubuntu/+source/foo2zjs/+bug/805370
- https://security-tracker.debian.org/tracker/CVE-2011-2684/