PT-2020-15684 · Trousers+6 · Trousers+6

Matthias Gerstner

·

Publicado

2020-08-13

·

Atualizado

2024-12-17

·

CVE-2020-24332

CVSS v3.1

5.5

Média

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do TrouSerS anteriores à 0.3.14
Descrição
Foi identificada uma falha em que a criação do arquivo system.data está sujeita a ataques de links simbólicos caso o daemon tcsd seja iniciado com privilégios de root. Isso poderia permitir que o usuário tss criasse ou corrompesse arquivos existentes, levando potencialmente a um ataque de negação de serviço.
Recomendações
Para versões anteriores à 0.3.14, considere executar o daemon tcsd com privilégios reduzidos para minimizar o risco de exploração. Como solução temporária, restrinja o acesso do usuário tss a arquivos e diretórios confidenciais até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

DoS

Link Following

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-59

Identificadores relacionados

ALSA-2021:1627
ALT-PU-2021-1148
ALT-PU-2021-1350
ALT-PU-2024-11154
AZL-6927
CESA-2021_1627
CVE-2020-24332
MGASA-2021-0297
OPENSUSE-SU-2024:11476-1
RHSA-2021:1627
RHSA-2021_1627
RLSA-2021:1627
ROSA-SA-2024-2543

Produtos afetados

Alt Linux
Almalinux
Centos
Debian
Red Hat
Rocky Linux
Trousers