PT-2024-38763 · Canonical+1 · Juju+1

Harry Pidcock

+4

·

Publicado

2024-10-02

·

Atualizado

2025-08-26

·

CVE-2024-8037

CVSS v3.1

6.5

Média

VetorAV:L/AC:H/PR:L/UI:N/S:U/C:L/I:H/A:H
Nome do software vulnerável e versões afetadas:
versões do juju anteriores à 2.9.51
versões do juju anteriores à 3.1.10
versões do juju anteriores à 3.3.7
versões do juju anteriores à 3.4.6
versões do juju anteriores à 3.5.4
Descrição:
O soquete de domínio UNIX abstrato da ferramenta juju hook está vulnerável. Quando combinado com um ataque de JUJU CONTEXT ID, qualquer usuário no sistema local com acesso ao namespace de rede padrão pode se conectar ao /var/lib/juju/agents/unit-xxxx-yyyy/agent.socket e realizar ações que normalmente são reservadas a um charm do juju.
Recomendações:
Para versões anteriores à 2.9.51, atualize para a versão 2.9.51 ou posterior.
Para versões anteriores à 3.1.10, atualize para a versão 3.1.10 ou posterior.
Para versões anteriores à 3.3.7, atualize para a versão 3.3.7 ou posterior.
Para versões anteriores à 3.4.6, atualize para a versão 3.4.6 ou posterior.
Para versões anteriores à 3.5.4, atualize para a versão 3.5.4 ou posterior.

Correção

Improper Access Control

Incorrect Default Permissions

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-284CWE-276

Identificadores relacionados

CVE-2024-8037
GHSA-8V4W-F4R9-7H6X
GHSA-FC27-7PF5-96V3
GO-2024-3174
OPENSUSE-SU-2024:0350-1
OPENSUSE-SU-2024:14447-1
OPENSUSE-SU-2024_3911-1
SUSE-SU-2024:3911-1

Produtos afetados

Suse
Juju