PT-2021-3366 · Suse · Suse Linux Enterprise Server+3

Johannes Segitz

·

Publicado

2021-02-16

·

Atualizado

2021-06-24

·

CVE-2021-31998

CVSS v3.1

7.8

Alta

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do openSUSE Leap anteriores à 2.6.2
SUSE Linux Enterprise Server 11-SP3, versão inn-2.4.2-170.21.3.1 e versões anteriores
Versões do openSUSE Backports SLE-15-SP2 anteriores à 2.6.2
Descrição
O problema está relacionado a um controle de acesso insuficiente no pacote inn, que pode ser explorado por um invasor para escalar seus privilégios do usuário news para root. Isso permite que invasores locais obtenham acesso elevado.
Recomendações
Para versões do openSUSE Leap anteriores à 2.6.2, atualize para a versão 2.6.2 ou posterior.
Para o SUSE Linux Enterprise Server 11-SP3 versão inn-2.4.2-170.21.3.1 e versões anteriores, atualize para uma versão posterior à inn-2.4.2-170.21.3.1.
Para o openSUSE Backports SLE-15-SP2 versões anteriores à 2.6.2, atualize para a versão 2.6.2 ou posterior.

Exploit

Correção

Incorrect Default Permissions

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-276

Identificadores relacionados

BDU:2021-03212
CVE-2021-31998
OPENSUSE-SU-2021:0830-1
OPENSUSE-SU-2021:0845-1
OPENSUSE-SU-2021_0830-1
SUSE-SU-2021:14750-1
SUSE-SU-2021_14750-1

Produtos afetados

Suse Linux Enterprise Server
Suse
Opensuse Backports Sle-15-Sp2
Opensuse Leap