关键信息 漏洞ID: Bug 628770 (CVE-2017-18284) 漏洞描述: 状态: RESOLVED FIXED 报告时间: 2017-08-23 20:31 UTC 修复时间: 2018-06-13 20:56 UTC 产品: Gentoo Security 组件: Vulnerabilities 重要性: Normal normal 赋值给: Gentoo Security 漏洞细节 PID文件目录的权限问题: 配置将 PID 文件目录的所有权赋予运行守护进程的用户 结果: 用户可以写入任意内容到 PID 文件,可能利用这一点导致权限升级:当服务停止时,root 会根据 PID 文件的内容调用 命令 缓解措施: - 将 PID 文件存储在 目录,避免在 中创建 - 系统服务文件中无需 PIDFile 行,即使守护进程创建了一个 修复措施 提交信息: 移除所有旧版本: app-backup/burp/Manifest、ebuild 等文件更新 修复了 #628770 和 #641842 两个问题 CVE赋值: CVE-2017-18284 被分配给该问题 发布到 GLSA: 2018年6月,该问题 repair 和 resolved,并在 GLSA 201806-03 中发布