CVE-2025-0374

Nome do Software Vulnerável e Versões Afetadas etcupdate (versões afetadas não especificadas)

Descrição Quando o etcupdate encontra conflitos durante a mesclagem de arquivos, ele salva uma versão contendo marcadores de conflito em /var/db/etcupdate/conflicts. Esta versão não preserva o modo do arquivo de entrada e é legível por todos, aplicando-se a arquivos que normalmente teriam visibilidade restrita, como /etc/master.passwd. Um usuário local sem privilégios pode ser capaz de ler senhas criptografadas de root e de usuários a partir do arquivo master.passwd temporário criado em /var/db/etcupdate/conflicts. Isso só é possível quando surgem conflitos dentro do arquivo de senhas durante uma atualização, e o arquivo desprotegido é excluído quando os conflitos são resolvidos.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.