• CWE-62: UNIX Hard Link

Das Produkt berücksichtigt bei der Öffnung einer Datei oder eines Verzeichnisses nicht ausreichend, wenn der Name mit einem Hard Link zu einem Ziel außerhalb des vorgesehenen Control Sphere verknüpft ist. Dies könnte es einem Angreifer ermöglichen, das Produkt dazu zu veranlassen, mit nicht autorisierten Dateien zu operieren.

CWE-62: UNIX Hard Link

CWE ID: 62
Name: UNIX Hard Link

Beschreibung

Das Produkt berücksichtigt bei der Öffnung einer Datei oder eines Verzeichnisses nicht ausreichend, wenn der Name mit einem Hard Link zu einem Ziel außerhalb des vorgesehenen Control Sphere verknüpft ist. Dies könnte es einem Angreifer ermöglichen, das Produkt dazu zu veranlassen, mit nicht autorisierten Dateien zu operieren.

Erweiterte Beschreibung

Das Versäumnis eines Systems, auf Hard Links zu prüfen, kann zu einer Verwundbarkeit gegenüber verschiedenen Angriffstypen führen. Beispielsweise kann ein Angreifer seine Privilegien eskalieren, wenn eine Datei, die von einem privilegierten Programm verwendet wird, durch einen Hard Link zu einer sensiblen Datei (z.B. /etc/passwd) ersetzt wird. Wenn der Prozess die Datei öffnet, kann der Angreifer die Privilegien dieses Prozesses übernehmen.