Halloy — это IRC-приложение, написанное на Rust. В версиях для \*nix и macOS перед фиксацией f180e41061db393acf65bc99f5c5e7397586d9cb Halloy создает свой каталог конфигурации и файлы, используя разрешения umask по умолчанию, что обычно приводит к `0644` для файлов и `0755` для каталогов. Это позволяет любому локальному пользователю в системе читать учетные данные в виде открытого текста, хранящиеся в `config.toml` или в путях `password_file`.
Commit f180e41061db393acf65bc99f5c5e7397586d9cb исправляет проблему.
Показать оригинальное описание (EN)
Halloy is an IRC application written in Rust. In versions on \*nix and macOS prior to commit f180e41061db393acf65bc99f5c5e7397586d9cb, halloy creates its config directory and files using default umask permissions, which typically results in `0644` on files and `0755` on directories. This allows any local user on the system to read plaintext credentials stored in `config.toml` or referenced `password_file` paths. Commit f180e41061db393acf65bc99f5c5e7397586d9cb patches the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Halloy Halloy
cpe:2.3:a:halloy:halloy:*:*:*:*:*:*:*:*
|
— |
<= 2026.4
|