CVE-2018-7738
NiskieStreszczenie
W util-linux przed wersją 2.32-rc1, funkcja bash-completion/umount pozwala lokalnym użytkownikom na uzyskanie uprawnień poprzez osadzenie poleceń powłoki w nazwie punktu montowania, co jest niewłaściwie obsługiwane podczas wykonywania polecenia umount przez innego użytkownika.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowany dostęp do systemu, co może prowadzić do eskalacji uprawnień i potencjalnych szkód w infrastrukturze IT.
Rekomendacja
Zaleca się aktualizację util-linux do wersji 2.32-rc1 lub nowszej oraz przeglądanie i ograniczanie uprawnień użytkowników do wykonywania polecenia umount.
Oryginalny opis (angielski, źródło NVD)
In util-linux before 2.32-rc1, bash-completion/umount allows local users to gain privileges by embedding shell commands in a mountpoint name, which is mishandled during a umount command (within Bash) by a different user, as demonstrated by logging in as root and entering umount followed by a tab cha

