PT-2021-7761 · Unknown+9 · Keepalived+9

Carnil

·

Publicado

2021-11-26

·

Atualizado

2024-06-15

·

CVE-2021-44225

CVSS v2.0

5.5

Média

VetorAV:N/AC:L/Au:S/C:P/I:P/A:N
Nome do software vulnerável e versões afetadas
Versões 2.2.4 e anteriores do Keepalived
Descrição
O problema está relacionado a restrições insuficientes na política do D-Bus, permitindo que qualquer usuário inspecione e manipule propriedades. Isso pode levar à burla do controle de acesso em certas situações em que um serviço do sistema D-Bus não relacionado possui uma propriedade configurável. A vulnerabilidade pode ser explorada por um invasor remoto para acessar dados confidenciais e comprometer sua integridade.
Recomendações
Para as versões 2.2.4 e anteriores do Keepalived, considere restringir o acesso ao serviço de sistema D-Bus para minimizar o risco de exploração. Como solução temporária, limite a capacidade dos usuários de inspecionar e manipular propriedades até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-264

Identificadores relacionados

ALSA-2022:1930
ALT-PU-2022-3262
ALT-PU-2023-1950
AZL-6508
BDU:2023-02653
CESA-2022_1930
CVE-2021-44225
DLA-3388-1
MGASA-2021-0567
OESA-2021-1477
OPENSUSE-SU-2022_2923-1
OPENSUSE-SU-2022_3232-1
OPENSUSE-SU-2024:11888-1
RHSA-2022:1930
RHSA-2022_1930
RLSA-2022:1930
SUSE-SU-2022:2923-1
SUSE-SU-2022:3232-1
SUSE-SU-2022:3234-1
SUSE-SU-2022:3235-1
SUSE-SU-2022_2923-1
SUSE-SU-2022_3232-1
USN-5188-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Keepalived
Linuxmint
Red Hat
Rocky Linux
Suse
Ubuntu