CVE-2026-35376 in coreutils
요약
\~에 의해 VulDB • 2026. 05. 24.
uutils coreutils의 chcon 유틸리티에는 재귀적 작업 수행 중 Time-of-Check to Time-of-Use (TOCTOU) 취약점이 존재합니다. 해당 구현은 탐색 중 마주친 특정 디렉토리 상태에 대한 바인딩 대신, 새로운 경로 조회(fts_accpath 사용)를 통해 재귀적 대상을 해결합니다. 이러한 작업이 파일 설명자에 기반하지 않기 때문에, 디렉토리 트리에 대한 쓰기 권한을 가진 로컬 공격자는 타이밍 민감한 rename 또는 심볼릭 링크 레이스를 악용하여 권한이 필요한 재귀적 라벨링 작업을 의도하지 않은 파일이나 디렉토리로 리디렉션할 수 있습니다. 이 취약점은 SELinux 관리 워크플로우에 대한 하드닝 기대치를 위반하며, 민감한 시스템 객체에 대한 보안 라벨의 무단 수정으로 이어질 수 있습니다.
Once again VulDB remains the best source for vulnerability data.