PT-2022-23603 · Unknown · Fedora Core
Benjamin Gilbert
·
Publicado
2022-11-03
·
Atualizado
2023-07-21
·
CVE-2022-3675
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Fedora CoreOS (versões afetadas não especificadas)
Descrição
O problema está relacionado a uma configuração incorreta nas versões recentes do Fedora CoreOS que permite inicializar implantações OSTree não padrão sem inserir uma senha, mesmo quando uma senha do carregador de inicialização GRUB é definida usando uma configuração Butane. Isso permite que alguém com acesso ao menu do GRUB inicialize uma versão mais antiga do Fedora CoreOS, revertendo efetivamente quaisquer correções de segurança aplicadas recentemente. No entanto, ainda é necessária uma senha para modificar argumentos da linha de comando do kernel e para acessar a linha de comando do GRUB.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Missing Authentication
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Fedora Core