← Back
Operating System
CVE-2015-8325 high CVSS 7.8

The do_setup_env function in session.c in sshd in OpenSSH through 7.2p2, when the UseLogin feature is enabled and PAM is configured to read .pam_environment files in user home directories, allows loca...

Summary

The do_setup_env function in session.c in sshd in OpenSSH through 7.2p2, when the UseLogin feature is enabled and PAM is configured to read .pam_environment files in user home directories, allows local users to gain privileges by triggering a crafted environment for the /bin/login program, as demons...

AI summary openai / gpt-4o

OpenSSHのsshdにおける脆弱性で、UseLogin機能とPAMが設定された状態で特定の環境変数を悪用することで、ローカルユーザーが特権を昇格させることが可能です。この脆弱性は、LD_PRELOAD環境変数を用いて悪用されることが示されています。
❓ What is the problem
OpenSSHのsshdにおける環境設定の脆弱性
📍 Affected scope
UseLogin機能が有効で、PAMがユーザーディレクトリ内の.pam_environmentファイルを読み込むよう設定されている場合
🔥 Severity
環境変数を悪用して特権を昇格させることが可能
🔧 How to fix
OpenSSHを最新バージョンにアップデートし、関連するセキュリティパッチを適用する。
🛡️ Workaround
UseLogin機能を無効にし、PAMでの環境読み込みを制限する。
🔍 Detection
sshdの設定ファイルでUseLoginが有効か確認し、PAMの設定を点検する。

References

🍪 About cookies

We use cookies to keep you logged in, remember your language, and improve the service.

Details →