PT-2024-28003 · Netatalk+4 · Netatalk+4

Flysoar

·

Publicado

2024-06-16

·

Atualizado

2025-03-12

·

CVE-2024-38439

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do Netatalk anteriores à 3.2.1
Netatalk versão 3.2.0
Descrição
O problema é causado por um erro off-by-one e o consequente estouro de buffer baseado em heap na função FPLoginExt no módulo de login de etc/uams/uams pam.c. Isso ocorre ao definir ibuf[PASSWDLEN] como ‘0’.
Recomendações
Para a versão 3.2.0 do Netatalk, atualize para a versão 3.2.1 ou posterior para resolver o problema.
Para versões anteriores à 3.2.1, atualize para a versão 3.2.1 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso à função FPLoginExt no módulo de login até que um patch esteja disponível.

Exploit

Correção

Memory Corruption

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-787

Identificadores relacionados

ALT-PU-2024-10064
ALT-PU-2024-10857
ALT-PU-2024-17688
CVE-2024-38439
DLA-3968-1
GHSA-8R68-857C-4RQC
MGASA-2024-0259
SUSE-SU-2024:2301-1
SUSE-SU-2024_2301-1
USN-7347-1

Produtos afetados

Alt Linux
Linuxmint
Netatalk
Suse
Ubuntu