PT-2024-33282 · Schedmd · Slurm
Publicado
2024-10-28
·
Atualizado
2025-02-24
·
CVE-2024-48936
CVSS v3.1
5.0
Média
| Vetor | AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do SchedMD Slurm anteriores à 24.05.4
Descrição
Um erro no tratamento da autenticação no
stepmgr poderia permitir que um invasor executasse processos sob tarefas de outros usuários. Este problema se limita a tarefas executadas explicitamente com --stepmgr ou em sistemas que tenham o stepmgr habilitado globalmente por meio de SlurmctldParameters=enable stepmgr em sua configuração.Recomendações
Para versões anteriores à 24.05.4, atualize para a versão 24.05.4 ou posterior para resolver o problema.
Como solução temporária, considere desativar a funcionalidade
stepmgr até que um patch esteja disponível.Restrinja o acesso a tarefas em execução com
--stepmgr para minimizar o risco de exploração.Evite habilitar globalmente o
stepmgr por meio de SlurmctldParameters=enable stepmgr na configuração até que o problema seja resolvido.Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Slurm