PT-2020-16908 · Prolion · Prolinos
Publicado
2020-11-01
·
Atualizado
2020-11-19
·
CVE-2020-28045
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do ProlinOS até a 2.4.161.8859R
Descrição
Foi identificada uma falha de segurança na forma como o ProlinOS lida com bibliotecas não assinadas. O sistema operacional exige que os aplicativos e os binários do sistema sejam assinados, mas as bibliotecas compartilhadas não precisam ser assinadas e não são verificadas. Isso permite que um invasor execute um binário personalizado compilando-o como um objeto compartilhado e carregando-o via
LD PRELOAD.Recomendações
Para as versões do ProlinOS até 2.4.161.8859R, considere restringir o uso de
LD PRELOAD para minimizar o risco de exploração até que um patch esteja disponível. Como solução temporária, evite carregar objetos compartilhados personalizados para prevenir possíveis ataques.Exploit
Correção
Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Prolinos