PT-2022-7456 · Linux+7 · Fwupd+7

Hughsie

Publicado

2022-09-22

Atualizado

2025-05-20

CVE-2022-3287

CVSS v2.0

6.8

Média

Vetor

AV:N/AC:L/Au:S/C:C/I:N/A:N

Nome do software vulnerável e versões afetadas

fwupd (versões afetadas não especificadas)

Descrição

O problema está relacionado ao daemon fwupd, responsável pelo gerenciamento de atualizações de firmware em sistemas baseados em Linux. Ao criar uma conta de usuário OPERATOR no BMC, o plugin redfish salva a senha gerada automaticamente no arquivo /etc/fwupd/redfish.conf sem as restrições adequadas. Isso permite que qualquer usuário no sistema leia o mesmo arquivo de configuração, potencialmente concedendo acesso a informações confidenciais.

Recomendações

Para todas as versões afetadas, considere restringir o acesso ao arquivo /etc/fwupd/redfish.conf para minimizar o risco de exploração. Como solução temporária, limite as permissões do arquivo redfish.conf para impedir que usuários não autorizados leiam a senha gerada automaticamente.

Correção

Files Accessible to External Parties

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-256CWE-552

Identificadores relacionados

ALSA-2023:2487

ALSA-2023:7189

ALT-PU-2022-2706

ALT-PU-2023-1166

BDU:2024-06519

CESA-2023_7189

CVE-2022-3287

OPENSUSE-SU-2024:12438-1

RHSA-2023:2487

RHSA-2023:7189

RHSA-2023_2487

RHSA-2023_7189

RHSA-2024:1106

RHSA-2024:1403

RLSA-2023:7189

Produtos afetados

Alt Linux

Almalinux

Centos

Debian

Red Hat

Red Os

Rocky Linux

Fwupd

PT-2022-7456 · Linux+7 · Fwupd+7

CVE-2022-3287

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 34