PT-2020-14761 · Gnome+8 · Gdm3+8

Kevin Backhouse

+1

·

Publicado

2020-06-01

·

Atualizado

2024-06-15

·

CVE-2020-16125

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do gdm3 anteriores à 3.36.2 ou à 3.38.2
Descrição
A vulnerabilidade permite que um usuário local crie potencialmente uma nova conta com privilégios no Ubuntu e seus derivados, explorando uma falha no GNOME Display Manager (GDM) quando este não consegue se comunicar com o serviço accountservice via dbus em tempo hábil. Isso pode ser combinado com outra vulnerabilidade para obter escalonamento de privilégios. A vulnerabilidade foi corrigida nas versões 3.36.2 e 3.38.2 do GNOME.
Recomendações
Para versões do gdm3 anteriores à 3.36.2, atualize para a versão 3.36.2 ou posterior.
Para versões do gdm3 anteriores à 3.38.2, atualize para a versão 3.38.2 ou posterior.
Como solução alternativa temporária, considere restringir o acesso ao serviço accountservice via dbus para minimizar o risco de exploração.

Exploit

Correção

Improper Check for Exceptional Conditions

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-754

Identificadores relacionados

ALSA-2021:1586
ALT-PU-2020-2052
ALT-PU-2020-3200
CESA-2021_1586
CVE-2020-16125
DLA-2434-1
MGASA-2021-0003
OPENSUSE-SU-2020:1961-1
OPENSUSE-SU-2020:2264-1
OPENSUSE-SU-2020_1961-1
OPENSUSE-SU-2020_2264-1
OPENSUSE-SU-2024:11547-1
RHSA-2021:1586
RHSA-2021_1586
RLSA-2021:1586
SUSE-SU-2020:3333-1
SUSE-SU-2020:3614-1
SUSE-SU-2020:3799-1
SUSE-SU-2020_3333-1
SUSE-SU-2020_3614-1
SUSE-SU-2020_3799-1
USN-4614-1

Produtos afetados

Alt Linux
Almalinux
Centos
Linuxmint
Red Hat
Rocky Linux
Suse
Ubuntu
Gdm3