PT-2020-6222 · Pacemaker+7 · Pacemaker+7
Huzaifa Sidhpurwala
·
Publicado
2019-12-20
·
Atualizado
2023-09-29
·
CVE-2020-25654
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Pacemaker anteriores à 1.1.24-rc1
Versões do Pacemaker anteriores à 2.0.5-rc2
Descrição
O problema está relacionado a uma falha de contorno de ACL no Pacemaker, que poderia permitir que um invasor com uma conta local no cluster e no grupo haclient utilizasse a comunicação IPC diretamente com vários daemons, realizando tarefas que seriam impedidas pelas ACLs se fossem executadas pela configuração. Isso poderia potencialmente levar ao acesso não autorizado a informações confidenciais ou causar uma negação de serviço.
Recomendações
Para versões do Pacemaker anteriores à 1.1.24-rc1, atualize para a versão 1.1.24-rc1 ou posterior para resolver o problema.
Para versões do Pacemaker anteriores à 2.0.5-rc2, atualize para a versão 2.0.5-rc2 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao grupo haclient e limitar a comunicação IPC com daemons para minimizar o risco de exploração.
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Centos
Linuxmint
Pacemaker
Red Hat
Suse
Ubuntu