PT-2020-19929 · Google+2 · Google-Gson+6
Malte Kraus
·
Publicado
2020-09-16
·
Atualizado
2020-09-28
·
CVE-2020-8028
CVSS v3.1
9.3
Crítica
| Vetor | AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
SUSE Linux Enterprise Module para SUSE Manager Server 4.1
SUSE Manager Proxy 4.0, versões anteriores à 4.0.9-0.16.38.1
SUSE Manager Retail Branch Server 4.0, versões anteriores à 4.0.9-0.16.38.1
SUSE Manager Server 3.2
SUSE Manager Server 4.0 versões anteriores à 4.0.9-3.54.1
google-gson versões anteriores à 2.8.5-3.4.3
httpcomponents-client versões anteriores à 4.5.6-3.4.2
Descrição
Uma vulnerabilidade na configuração do salt permite que usuários locais obtenham privilégios de root em todos os sistemas gerenciados pelo SUSE Manager. No próprio nó de gerenciamento, o código pode ser executado como usuário salt, permitindo potencialmente a escalada para root nesse local.
Recomendações
Para o SUSE Linux Enterprise Module para SUSE Manager Server 4.1, atualize para uma versão que inclua a correção para este problema.
Para o SUSE Manager Proxy 4.0, atualize para a versão 4.0.9-0.16.38.1 ou posterior.
Para o SUSE Manager Retail Branch Server 4.0, atualize para a versão 4.0.9-0.16.38.1 ou posterior.
Para o SUSE Manager Server 3.2, atualize o salt-netapi-client para a versão 0.16.0-4.14.1 ou posterior.
Para o SUSE Manager Server 4.0, atualize para a versão 4.0.9-3.54.1 ou posterior.
Para o google-gson, atualize para a versão 2.8.5-3.4.3 ou posterior.
Para o httpcomponents-client, atualize para a versão 4.5.6-3.4.2 ou posterior.
Exploit
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Suse Linux Enterprise Module For Suse Manager Server
Suse Manager Proxy
Suse Manager Retail Branch Server
Suse Manager Server
Suse
Google-Gson
Httpcomponents-Client