PT-2020-3177 · Linuxtv+2 · Xawtv+2

Matthias Gerstner

·

Publicado

2020-05-16

·

Atualizado

2024-06-15

·

CVE-2020-13696

CVSS v3.1

4.4

Média

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
Versões do LinuxTV xawtv anteriores à 3.107
Descrição
O problema está relacionado a verificações insuficientes na função dev open(), permitindo que um invasor local verifique a existência de arquivos arbitrários e acione a abertura desses arquivos no modo O RDWR. Isso pode ser feito adicionando componentes de caminho relativo ao caminho do dispositivo. A vulnerabilidade pode permitir que um invasor obtenha acesso não autorizado a informações protegidas.
Recomendações
Para versões do LinuxTV xawtv anteriores à 3.107, considere atualizar para a versão 3.107 ou posterior para resolver o problema. Como solução temporária, restrinja o acesso ao programa v4l-conf setuid-root para minimizar o risco de exploração. Evite usar componentes de caminho relativo no caminho do dispositivo para impedir o acesso não intencional ao sistema de arquivos.

Correção

Incorrect Authorization

Incorrect Permission

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-863CWE-732

Identificadores relacionados

BDU:2020-03475
CVE-2020-13696
DLA-2246-1
MGASA-2020-0257
OPENSUSE-SU-2020:0784-1
OPENSUSE-SU-2020:0787-1
OPENSUSE-SU-2020_0784-1
OPENSUSE-SU-2024:11517-1
SUSE-SU-2020:1712-1
USN-4518-1

Produtos afetados

Suse
Ubuntu
Xawtv