PT-2024-23126 · Dirac · Dirac
Highfstagnipu
·
Publicado
2024-04-09
·
Atualizado
2026-01-05
·
CVE-2024-29905
CVSS v3.1
8.1
Alta
| Vetor | AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L |
Nome do software vulnerável e versões afetadas
Versões do DIRAC anteriores à 8.0.41
Descrição
O DIRAC é uma estrutura de software para computação distribuída. Durante o processo de geração de proxy, como ao usar o
dirac-proxy-init, usuários não autorizados na mesma máquina podem obter acesso de leitura ao proxy. Isso permite que o usuário execute qualquer ação possível com o proxy original. A vulnerabilidade existe por um curto período, especificamente um intervalo de tempo inferior a um milissegundo, durante o processo de geração.Recomendações
Para versões anteriores à 8.0.41, atualize para a versão 8.0.41 para resolver o problema.
Como solução temporária, definir a variável de ambiente
X509 USER PROXY para um caminho dentro de um diretório legível apenas pelo usuário atual evita o risco potencial. Após o arquivo ter sido gravado, ele pode ser copiado com segurança para o local padrão (/tmp/x509up uNNNN).Exploit
Correção
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dirac