Vulnerabilidad en el archivo daemon/gvfsbackendadmin.c en GNOME gvfs (CVE-2019-12449)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
29/05/2019
Última modificación:
07/11/2023
Descripción
Fue encontrado un problema en GNOME gvfs versión 1.29.4 hasta la 1.41.2. El archivo daemon/gvfsbackendadmin.c maneja incorrectamente la propiedad de un usuario de archivo y grupo durante un movimiento (y copia con G_FILE_COPY_ALL_METADATA) operaciones de admin:// hacia file:// URIs, porque los privilegios root no están disponibles.
Impacto
Puntuación base 3.x
5.70
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:gnome:gvfs:*:*:*:*:*:*:*:* | 1.29.4 (incluyendo) | 1.41.2 (incluyendo) |
| cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:18.10:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:19.04:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:29:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:30:*:*:*:*:*:*:* | ||
| cpe:2.3:o:opensuse:leap:15.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00008.html
- http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00009.html
- http://www.openwall.com/lists/oss-security/2019/07/09/3
- https://gitlab.gnome.org/GNOME/gvfs/commit/409619412e11be146a31b9a99ed965925f1aabb8
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/FP6BFQUPQRVRRFIYHFWWB6RHJNEB4LGQ/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/M2DQVOL5H5BVLXYCEB763DCIYJQ7ZUQ2/
- https://usn.ubuntu.com/4053-1/