PT-2020-7138 · Shaman · Shaman
Kurt Seifried
·
Publicado
2020-02-12
·
Atualizado
2020-02-25
·
CVE-2011-4338
CVSS v2.0
7.2
Alta
| Vetor | AV:L/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Shaman versão 1.0.9
Descrição
A falha permite que os usuários obtenham privilégios de root sem inserir a senha de root, adicionando a linha
askforpwd=false ao arquivo shaman.conf. Essa alteração na configuração habilita o acesso de root na próxima vez que o Shaman for executado, mesmo que o usuário nunca tenha inserido a senha de root.Recomendações
Para a versão 1.0.9 do Shaman, a fim de resolver o problema, os usuários devem remover a linha
askforpwd=false do arquivo shaman.conf para garantir que os privilégios de root só sejam concedidos após a inserção da senha de root. Como solução alternativa temporária, considere restringir o acesso ao arquivo shaman.conf para impedir modificações não autorizadas.Exploit
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Shaman