CVE-2017-15288 — High severity vulnerability that affects org.scala-lang:scala-compiler

描述

The compilation daemon in Scala before 2.10.7, 2.11.x before 2.11.12, and 2.12.x before 2.12.4 uses weak permissions for private files in /tmp/scala-devel/${USER:shared}/scalac-compile-server-port, which allows local users to write to arbitrary class files and consequently gain privileges.

如何修補 CVE-2017-15288

要修補 CVE-2017-15288,請將受影響套件升級到下列已修補版本。

—升級至 2.11.12-1 或更新版本
—升級至 2.10.7 或更新版本

CVE-2017-15288 正在被利用嗎?

低 — EPSS 為 0.1%,目前沒有觀察到大規模利用活動。

受影響套件(2)

from 0, < 2.11.12-1
from 0, < 2.10.7

CVSS 分數

來源	版本	嚴重程度	向量
osv	CVSS 3.1	HIGH7.8	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

參考連結(23)

ADVISORYgithub.com/advisories/GHSA-qvxv-pmq9-4q7g
ADVISORYnvd.nist.gov/vuln/detail/CVE-2017-15288
ADVISORYsecurity-tracker.debian.org/tracker/CVE-2017-15288
PATCHgithub.com/scala/scala
WEB