CVE-2017-5618 - GNU screen before 4.5.1 allows local users to modify arbitrary files and consequently gain root priv

CVE-2017-5618

Summary

GNU screen before 4.5.1 allows local users to modify arbitrary files and consequently gain root privileges by leveraging improper checking of logfile permissions.

References

Vulnerable Configurations

cpe:2.3:a:gnu:screen:-:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:-:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:3.6.0:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:3.6.0:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:3.6.1:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:3.6.1:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:3.6.2:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:3.6.2:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:3.7.1:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:3.7.1:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:3.7.2:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:3.7.2:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:3.7.4:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:3.7.4:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:3.7.6:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:3.7.6:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:3.9.4:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:3.9.4:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:3.9.8:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:3.9.8:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:3.9.9:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:3.9.9:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:3.9.10:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:3.9.10:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:3.9.11:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:3.9.11:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:3.9.13:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:3.9.13:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:3.9.15:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:3.9.15:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:4.0.1:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:4.0.1:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:4.0.2:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:4.0.2:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:4.0.3:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:4.0.3:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:4.2.0:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:4.2.0:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:4.2.1:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:4.2.1:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:4.3.0:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:4.3.0:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:4.3.1:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:4.3.1:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:4.4.0:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:4.4.0:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:4.5.0:*:*:*:*:*:*:*
cpe:2.3:a:gnu:screen:4.5.0:*:*:*:*:*:*:*

CVSS

Base:	7.2 (as of 24-08-2020 - 17:37)
Impact:
Exploitability:

CWE

CWE-863

CAPEC

Access

Vector	Complexity	Authentication
LOCAL	LOW	NONE

Impact

Confidentiality	Integrity	Availability
COMPLETE	COMPLETE	COMPLETE

cvss-vector via4

AV:L/AC:L/Au:N/C:C/I:C/A:C

refmap via4

bid	95873
confirm	http://git.savannah.gnu.org/cgit/screen.git/patch/?id=1c6d2817926d30c9a7a97d99af7ac5de4a5845b8 http://git.savannah.gnu.org/cgit/screen.git/tree/src/ChangeLog?h=v.4.5.1 http://savannah.gnu.org/bugs/?50142
mlist	[oss-security] 20170129 Re: CVE request: GNU screen escalation [screen-devel] 20170124 [bug #50142] root exploit 4.5.0

Last major update

24-08-2020 - 17:37

Published

20-03-2017 - 16:59

Last modified

24-08-2020 - 17:37