GNOME Display Manager URI机制处理器本地特权提升漏洞

CVE编号

CVE-2011-1709

利用情况

暂无

补丁情况

N/A

披露时间

2011-06-15

漏洞描述

GNOME Display Manager是一款图形登录程序。在glib 2.28中可能以gdm用户在GDM会话中运行默认WEB浏览器，结果可导致不可控的访问本地文件系统或以gdm用户上下文访问资源。这是由于glib 2.28更改了注册URI处理器的处理方法，原来通过gconf设置控制，现在通过x-scheme-handler/<scheme> mime类型(如x-scheme-handler/http)来控制。

解决建议

用户可参考如下供应商提供的安全公告获得补丁信息：http://git.gnome.org/browse/gdm/commit/?id=d13dd72531599ab7e4c747db3b58a8c17753e08d

参考链接
http://ftp.gnome.org/pub/GNOME/sources/gdm/2.32/gdm-2.32.2.news
http://git.gnome.org/browse/gdm/commit/?id=d13dd72531599ab7e4c747db3b58a8c17753e08d
http://lists.fedoraproject.org/pipermail/package-announce/2011-June/061264.html
http://secunia.com/advisories/44797
http://secunia.com/advisories/44808
http://www.securityfocus.com/bid/48084
http://www.ubuntu.com/usn/USN-1142-1
https://bugzilla.redhat.com/show_bug.cgi?id=709139
https://hermes.opensuse.org/messages/8643655

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	gnome	gdm	1.0	-
	运行在以下环境
	应用	gnome	gdm	2.0	-
	运行在以下环境
	应用	gnome	gdm	2.13	-
	运行在以下环境
	应用	gnome	gdm	2.14	-
	运行在以下环境
	应用	gnome	gdm	2.15	-
	运行在以下环境
	应用	gnome	gdm	2.16	-
	运行在以下环境
	应用	gnome	gdm	2.17	-
	运行在以下环境
	应用	gnome	gdm	2.18	-
	运行在以下环境
	应用	gnome	gdm	2.19	-
	运行在以下环境
	应用	gnome	gdm	2.2	-
	运行在以下环境
	应用	gnome	gdm	2.20	-
	运行在以下环境
	应用	gnome	gdm	2.21	-
	运行在以下环境
	应用	gnome	gdm	2.22	-
	运行在以下环境
	应用	gnome	gdm	2.23	-
	运行在以下环境
	应用	gnome	gdm	2.24	-
	运行在以下环境
	应用	gnome	gdm	2.25	-
	运行在以下环境
	应用	gnome	gdm	2.26	-
	运行在以下环境
	应用	gnome	gdm	2.27	-
	运行在以下环境
	应用	gnome	gdm	2.28	-
	运行在以下环境
	应用	gnome	gdm	2.29	-
	运行在以下环境
	应用	gnome	gdm	2.3	-
	运行在以下环境
	应用	gnome	gdm	2.30	-
	运行在以下环境
	应用	gnome	gdm	2.31	-
	运行在以下环境
	应用	gnome	gdm	2.32	-
	运行在以下环境
	应用	gnome	gdm	2.32.1	-
	运行在以下环境
	应用	gnome	gdm	2.4	-
	运行在以下环境
	应用	gnome	gdm	2.5	-
	运行在以下环境
	应用	gnome	gdm	2.6	-
	运行在以下环境
	应用	gnome	gdm	2.8	-
	运行在以下环境
	应用	gnome	glib	2.28	-
	运行在以下环境
	系统	suse_12	gdm	*		Up to (excluding) 3.10.0.1-13

CVSS3评分 7.2

• 攻击路径 本地
• 攻击复杂度 低
• 权限要求 无
• 影响范围 N/A
• 用户交互 无
• 可用性 完全地
• 保密性 完全地
• 完整性 完全地

AV:L/AC:L/Au:N/C:C/I:C/A:C CWE-ID 漏洞类型 CWE-264 权限、特权和访问控制