CVE-1999-1496
NiskiePrawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 40 — wyżej niż 40% wszystkich znanych CVE
Streszczenie
Sudo w wersji 1.5 na systemach Debian Linux 2.1 i Red Hat 6.0 pozwala lokalnym użytkownikom na sprawdzenie istnienia dowolnych plików poprzez próbę wykonania nazwy pliku jako programu, co generuje różne komunikaty o błędach w przypadku, gdy plik nie istnieje.
Ocena ryzyka
Możliwość ustalenia istnienia plików może prowadzić do ujawnienia informacji o strukturze systemu plików, co zwiększa ryzyko ataków na system.
Rekomendacja
Zaleca się aktualizację Sudo do nowszej wersji, która eliminuje tę podatność oraz ograniczenie dostępu do Sudo dla lokalnych użytkowników.
Oryginalny opis (angielski, źródło NVD)
Sudo 1.5 in Debian Linux 2.1 and Red Hat 6.0 allows local users to determine the existence of arbitrary files by attempting to execute the target filename as a program, which generates a different error message when the file does not exist.

