PT-2024-10822 · Gentoo+1 · Gentoo+1
Michael Orlitzky
·
Publicado
2024-01-15
·
Atualizado
2024-01-22
·
CVE-2020-36770
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Slurm até a 22.05.3
Descrição
O problema decorre do
pkg postinst no ebuild do Gentoo para o Slurm, que chama desnecessariamente o chown para atribuir a propriedade do root aos arquivos no sistema de arquivos raiz ativo. Isso poderia ser explorado pelo usuário slurm para se tornar o proprietário de arquivos pertencentes ao root.Recomendações
Para versões do Slurm até a 22.05.3, considere restringir o acesso do usuário
slurm a arquivos confidenciais até que um patch esteja disponível. Como solução temporária, evite usar o script pkg postinst no ebuild do Gentoo para o Slurm ou certifique-se de que o comando chown não seja executado desnecessariamente. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Incorrect Permission
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gentoo
Slurm