Arogge

**Nome do software vulnerável e versões afetadas** Versões do Bareos Director de 18.2 a 21.1.0, excluindo as versões 21.1.0, 20.0.6 e 19.2.12 Versões do Bareos Director anteriores à 19.2.12, excluindo a versão 19.2.12 Versões do Bareos Director anteriores à 20.0.6, excluindo a versão 20.0.6 Versões do Bareos Director anteriores à 21.1.0, excluindo a versão 21.1.0 No entanto, o acima exposto pode ser simplificado para: Versões do Bareos Director 18.2 a 20.0.5 Versões do Bareos Director 18.2 a 19.2.11 **Descrição** O problema afeta o Bareos Director quando compilado e configurado para autenticação PAM, permitindo que contas expiradas e contas com senhas expiradas façam login devido à omissão de verificações de autorização. Esse problema afeta usuários com PAM habilitado, pois apenas a autenticação simples é realizada, verificando se o `nome de usuário` e a `senha` correspondem, sem verificar se a conta está expirada ou desativada. **Recomendações** Para as versões 18.2 a 20.0.5 do Bareos Director, atualize para a versão 20.0.6 ou posterior. Para as versões 18.2 a 19.2.11 do Bareos Director, atualize para a versão 19.2.12 ou posterior. Para versões do Bareos Director anteriores à 21.1.0, atualize para a versão 21.1.0 ou posterior. Como solução alternativa temporária, certifique-se de que a autenticação falhe se o usuário não estiver autorizado.

**Nome do software vulnerável e versões afetadas** Versões do Bareos Director 18.2 a 21.1.0 (excluindo a 21.1.0), 20.0.6 (excluindo a 20.0.6) e 19.2.12 (excluindo a 19.2.12) Versões do Bareos Director anteriores à 19.2.12 Versões do Bareos Director anteriores à 20.0.6 Versões do Bareos Director anteriores à 21.1.0 **Descrição** O Bareos é um software de código aberto para backup, arquivamento e recuperação de dados para sistemas operacionais. Quando o Bareos Director é compilado e configurado para autenticação PAM, uma autenticação PAM com falha causa um pequeno vazamento de memória. Um invasor capaz de usar o Console PAM pode inundar o Director com tentativas de login malsucedidas, o que acabará levando a uma condição de falta de memória, na qual o Director deixará de funcionar. **Recomendações** Para versões do Bareos Director anteriores à 19.2.12, atualize para a versão 19.2.12 ou posterior. Para versões do Bareos Director anteriores à 20.0.6, atualize para a versão 20.0.6 ou posterior. Para versões do Bareos Director anteriores à 21.1.0, atualize para a versão 21.1.0 ou posterior. Como solução alternativa temporária, considere desativar a autenticação PAM até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Bareos Director anteriores à 16.2.11 Versões do Bareos Director anteriores à 17.2.10 Versões do Bareos Director anteriores à 18.2.9 Versões do Bareos Director anteriores à 19.2.8 **Descrição** Um estouro de pilha no Bareos Director permite que um cliente mal-intencionado corrompa a memória do director por meio de strings de resumo superdimensionadas enviadas durante a inicialização de uma tarefa de verificação. Desativar as tarefas de verificação mitiga o problema. **Recomendações** Para o Bareos Director versão 16.2.10 e anteriores, atualize para a versão 16.2.11 ou posterior. Para o Bareos Director versão 17.2.9, atualize para a versão 17.2.10 ou posterior. Para o Bareos Director versão 18.2.8, atualize para a versão 18.2.9 ou posterior. Para o Bareos Director versão 19.2.7, atualize para a versão 19.2.8 ou posterior. Como solução alternativa temporária, considere desativar as tarefas de verificação até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Bareos anteriores à 19.2.8 **Descrição** A vulnerabilidade permite que um cliente mal-intencionado se comunique com o diretor sem conhecer o segredo compartilhado, caso o diretor permita conexões iniciadas pelo cliente e se conecte ao próprio cliente. Um cliente mal-intencionado pode reproduzir o desafio cram-md5 do diretor do Bareos para o próprio diretor, fazendo com que o diretor responda ao desafio reproduzido. A resposta obtida é, então, uma resposta válida ao desafio original do diretor. **Recomendações** Para versões anteriores à 19.2.8, atualize para a versão 19.2.8 para resolver o problema. Como solução alternativa temporária, considere restringir as conexões iniciadas pelo cliente a clientes confiáveis ou desativar o recurso que permite que o diretor se conecte aos próprios clientes até que a atualização seja aplicada.