PT-2022-2075 · Paramiko+8 · Paramiko+8

Jan Schejbal

·

Publicado

2022-03-17

·

Atualizado

2025-12-16

·

CVE-2022-24302

CVSS v4.0

8.2

Alta

VetorAV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do Paramiko anteriores à 2.10.1
Descrição
O problema está relacionado a uma condição de corrida na função write private key file, o que poderia permitir a divulgação não autorizada de informações devido a erros de sincronização ao usar um recurso compartilhado. Isso poderia, potencialmente, permitir que um invasor acessasse informações confidenciais.
Recomendações
Para versões do Paramiko anteriores à 2.10.1, atualize para a versão 2.10.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à função write private key file até que um patch esteja disponível.

Exploit

Correção

Race Condition

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-362

Identificadores relacionados

ALT-PU-2022-2770
ALT-PU-2022-2869
BDU:2022-01897
CVE-2022-24302
DLA-2959-1
DLA-3104-1
DLA-4409-1
GHSA-F8Q4-JWWW-X3WV
MGASA-2022-0132
OESA-2022-1609
OPENSUSE-SU-2022_1446-1
OPENSUSE-SU-2024:13300-1
PYSEC-2022-166
RHSA-2022:4712
RHSA-2022:8845
RHSA-2022:8863
SUSE-SU-2022:1446-1
SUSE-SU-2022:1447-1
SUSE-SU-2022:1536-1
SUSE-SU-2022_1446-1
SUSE-SU-2022_1447-1
USN-5351-1
USN-5351-2

Produtos afetados

Alt Linux
Astra Linux
Debian
Linuxmint
Paramiko
Red Os
Suse
Ubuntu
Zvirt Node