CVE-2014-8989

MEDIUM

Description

The Linux kernel through 3.17.4 does not properly restrict dropping of supplemental group memberships in certain namespace scenarios, which allows local users to bypass intended file permissions by leveraging a POSIX ACL containing an entry for the group category that is more restrictive than the entry for the other category, aka a "negative groups" issue, related to kernel/groups.c, kernel/uid16.c, and kernel/user_namespace.c.

References

http://lists.fedoraproject.org/pipermail/package-announce/2015-January/147864.html

http://lists.fedoraproject.org/pipermail/package-announce/2015-January/147973.html

http://thread.gmane.org/gmane.linux.man/7385/

http://www.mandriva.com/security/advisories?name=MDVSA-2015:058

http://www.openwall.com/lists/oss-security/2014/11/20/4

http://www.securityfocus.com/bid/71154

http://www.ubuntu.com/usn/USN-2515-1

http://www.ubuntu.com/usn/USN-2516-1

http://www.ubuntu.com/usn/USN-2517-1

http://www.ubuntu.com/usn/USN-2518-1

Details

Source: MITRE

Published: 2014-11-30

Updated: 2017-01-03

Type: CWE-264

Risk Information

CVSS v2.0

Base Score: 4.6

Vector: AV:L/AC:L/Au:N/C:P/I:P/A:P

Impact Score: 6.4

Exploitability Score: 3.9

Severity: MEDIUM

Vulnerable Software

Configuration 1

OR

cpe:2.3:o:linux:linux_kernel:3.0:rc1:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0:rc2:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0:rc3:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0:rc4:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0:rc5:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0:rc6:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0:rc7:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.1:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.2:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.3:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.4:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.5:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.6:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.7:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.8:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.9:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.10:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.11:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.12:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.13:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.14:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.15:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.16:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.17:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.18:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.19:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.20:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.21:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.22:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.23:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.24:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.25:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.26:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.27:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.28:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.29:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.30:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.31:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.32:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.33:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.34:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.35:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.36:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.37:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.38:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.39:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.40:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.41:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.42:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.43:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.44:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.45:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.46:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.47:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.48:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.49:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.50:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.51:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.52:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.53:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.54:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.55:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.56:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.57:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.58:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.59:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.60:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.61:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.62:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.63:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.64:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.65:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.66:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.67:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.0.68:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.1:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.1:rc1:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.1:rc2:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.1:rc3:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.1:rc4:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.1.1:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.1.2:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.1.3:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.1.4:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.1.5:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.1.6:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.1.7:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.1.8:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.1.9:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.1.10:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.2:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.2:*:*:*:*:*:x86:*

cpe:2.3:o:linux:linux_kernel:3.2:rc2:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.2:rc3:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.0:*:*:*:*:*:arm64:*

cpe:2.3:o:linux:linux_kernel:3.10.1:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.1:*:*:*:*:*:arm64:*

cpe:2.3:o:linux:linux_kernel:3.10.2:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.2:*:*:*:*:*:arm64:*

cpe:2.3:o:linux:linux_kernel:3.10.3:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.3:*:*:*:*:*:arm64:*

cpe:2.3:o:linux:linux_kernel:3.10.4:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.4:*:*:*:*:*:arm64:*

cpe:2.3:o:linux:linux_kernel:3.10.5:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.5:*:*:*:*:*:arm64:*

cpe:2.3:o:linux:linux_kernel:3.10.6:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.6:*:*:*:*:*:arm64:*

cpe:2.3:o:linux:linux_kernel:3.10.7:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.7:*:*:*:*:*:arm64:*

cpe:2.3:o:linux:linux_kernel:3.10.8:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.8:*:*:*:*:*:arm64:*

cpe:2.3:o:linux:linux_kernel:3.10.9:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.9:*:*:*:*:*:arm64:*

cpe:2.3:o:linux:linux_kernel:3.10.10:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.11:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.12:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.13:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.14:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.15:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.16:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.17:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.18:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.19:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.20:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.21:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.22:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.23:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.24:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.25:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.26:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.27:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.28:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.10.29:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.11:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.11.1:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.11.2:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.11.3:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.11.4:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.11.5:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.11.6:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.11.7:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.11.8:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.11.9:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.11.10:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.12:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.12.1:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.12.2:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.12.3:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.12.4:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.12.5:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.12.6:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.12.7:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.12.8:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.12.9:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.12.10:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.12.11:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.12.12:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.12.13:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.12.14:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.12.15:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.12.16:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.12.17:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.13:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.13.1:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.13.2:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.13.3:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.13.4:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.13.5:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.13.6:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.13.7:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.13.8:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.13.9:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.13.10:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.13.11:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.14:-:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.14:rc1:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.14:rc2:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.14:rc3:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.14:rc4:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.14:rc5:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.14:rc6:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.14:rc7:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.14:rc8:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.14.1:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.14.2:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.14.3:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.14.4:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.14.5:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.15:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.15.1:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.15.2:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.15.3:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.15.4:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.15.5:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.15.6:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.15.7:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.15.8:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.16.0:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.16.1:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.17:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.17.1:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:3.17.2:*:*:*:*:*:*:*

cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* versions up to 3.17.3 (inclusive)

Tenable Plugins

View all (18 total)

IDNameProductFamilySeverity
127146NewStart CGSL MAIN 5.04 : kernel Multiple Vulnerabilities (NS-SA-2019-0004)NessusNewStart CGSL Local Security Checks
critical
124974EulerOS Virtualization for ARM 64 3.0.1.0 : kernel (EulerOS-SA-2019-1521)NessusHuawei Local Security Checks
critical
99163OracleVM 3.3 : Unbreakable / etc (OVMSA-2017-0057) (Dirty COW)NessusOracleVM Local Security Checks
critical
88605openSUSE Security Update : the Linux Kernel (openSUSE-2016-136)NessusSuSE Local Security Checks
high
88545openSUSE Security Update : the Linux Kernel (openSUSE-2016-124)NessusSuSE Local Security Checks
critical
85188OracleVM 3.3 : kernel-uek (OVMSA-2015-0109)NessusOracleVM Local Security Checks
critical
85177Oracle Linux 6 / 7 : Unbreakable Enterprise kernel (ELSA-2015-3064)NessusOracle Linux Local Security Checks
critical
81941Mandriva Linux Security Advisory : kernel (MDVSA-2015:058)NessusMandriva Local Security Checks
high
81646Ubuntu 14.04 LTS : linux vulnerabilities (USN-2516-3)NessusUbuntu Local Security Checks
high
81645Ubuntu 12.04 LTS : linux-lts-trusty vulnerabilities (USN-2515-2)NessusUbuntu Local Security Checks
high
81590Ubuntu 14.04 LTS : linux vulnerability (USN-2516-2)NessusUbuntu Local Security Checks
high
81571Ubuntu 14.10 : linux vulnerabilities (USN-2518-1)NessusUbuntu Local Security Checks
high
81570Ubuntu 14.04 LTS : linux-lts-utopic vulnerabilities (USN-2517-1)NessusUbuntu Local Security Checks
high
81569Ubuntu 14.04 LTS : linux vulnerabilities (USN-2516-1)NessusUbuntu Local Security Checks
high
81568Ubuntu 12.04 LTS : linux-lts-trusty vulnerabilities (USN-2515-1)NessusUbuntu Local Security Checks
high
81322Amazon Linux AMI : kernel (ALAS-2015-476)NessusAmazon Linux Local Security Checks
high
80465Fedora 20 : kernel-3.17.8-200.fc20 (2015-0515)NessusFedora Local Security Checks
high
80452Fedora 21 : kernel-3.17.8-300.fc21 (2015-0517)NessusFedora Local Security Checks
high