PT-2022-24043 · Amanda+2 · Amanda+2
Maher Azzouzi
·
Publicado
2022-09-13
·
Atualizado
2024-09-07
·
CVE-2022-37703
CVSS v3.1
3.3
Baixa
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Amanda versão 3.5.1
Descrição
Foi detectada uma falha de vazamento de informações no binário SUID
calcsize, permitindo que um invasor determine se um diretório existe em qualquer ponto do sistema de arquivos. O binário utiliza a função opendir() como root sem validação de caminho, possibilitando que um invasor forneça um caminho arbitrário.Recomendações
Para a versão 3.5.1 do Amanda, considere restringir o acesso ao binário calcsize SUID até que um patch esteja disponível, ou aplique alterações de configuração para limitar a capacidade do binário de acessar caminhos arbitrários. Como solução temporária, considere desativar o uso da função
opendir() no binário calcsize para minimizar o risco de exploração.Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Amanda
Linuxmint
Ubuntu