Plateforme
ruby
Composant
passenger
Corrigé dans
4.0.38
La vulnérabilité CVE-2014-1831 affecte Phusion Passenger, une version antérieure à 4.0.38. Elle permet à un utilisateur local d'exploiter une attaque par lien symbolique pour écrire dans des fichiers et répertoires sensibles. Cette faille, bien que classée comme de faible sévérité, peut compromettre l'intégrité des données et potentiellement servir de point de départ pour des attaques plus sophistiquées. La mise à jour vers la version 4.0.38 corrige cette vulnérabilité.
Cette vulnérabilité permet à un utilisateur local de créer un lien symbolique pointant vers un fichier ou un répertoire auquel il n'aurait normalement pas accès en écriture. En créant un lien symbolique vers control_process.pid ou un fichier generation-*, un attaquant peut potentiellement modifier ou supprimer ces fichiers, perturbant ainsi le fonctionnement de Passenger et, potentiellement, de l'application web hébergée. Bien que l'impact direct soit limité à l'environnement local, cela pourrait servir de tremplin pour des attaques plus larges, en particulier si l'utilisateur local dispose de privilèges élevés ou si l'application web est vulnérable à d'autres failles. La compromission de control_process.pid pourrait permettre de prendre le contrôle du processus Passenger.
Cette vulnérabilité n'est pas actuellement activement exploitée, mais elle reste pertinente en raison de la présence de systèmes hébergeant des versions vulnérables de Phusion Passenger. Il n'y a pas d'entrée dans le KEV (CISA Known Exploited Vulnerabilities) à ce jour. Bien qu'il n'y ait pas de preuve d'exploitation active, la simplicité de l'attaque par lien symbolique signifie qu'elle pourrait être exploitée facilement si elle était découverte par des acteurs malveillants. La date de publication de la CVE est le 2018-10-10.
Statut de l'Exploit
EPSS
0.07% (percentile 21%)
La mitigation principale consiste à mettre à jour Phusion Passenger vers la version 4.0.38 ou supérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre les permissions d'écriture sur les fichiers control_process.pid et les fichiers generation-*. Envisagez également de configurer un pare-feu d'application web (WAF) pour bloquer les tentatives de création de liens symboliques malveillants. Sur les systèmes Linux, vérifiez les permissions des fichiers et répertoires concernés et assurez-vous que seuls les utilisateurs autorisés ont les droits d'écriture. Après la mise à jour, vérifiez que les fichiers critiques sont toujours protégés contre les modifications non autorisées en vérifiant les permissions et en effectuant des tests de sécurité.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2014-1831 is a vulnerability in Phusion Passenger versions up to 4.0.8 that allows a local attacker to write to restricted directories via a symlink attack on control_process.pid or generation-* files. Severity pending CVSS score update.
You are affected if you are running Phusion Passenger versions 4.0.8 or earlier. Upgrade to 4.0.38 or later to mitigate the risk.
Upgrade Phusion Passenger to version 4.0.38 or later. As a temporary workaround, restrict file permissions on control_process.pid and generation-* files.
There is no widespread evidence of active exploitation of CVE-2014-1831. Public POCs are limited, and it is not listed on KEV or EPSS.
Refer to the Phusion Passenger security advisory for details: https://www.phusionpassenger.com/security/advisories/CVE-2014-1831
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Gemfile.lock et nous te dirons instantanément si tu es affecté.