Podatność CVE-2019-3844


Publikacja: 2019-04-26

Opis:
It was discovered that a systemd service that uses DynamicUser property can get new privileges through the execution of SUID binaries, which would allow to create binaries owned by the service transient group with the setgid bit set. A local attacker may use this flaw to access resources that will be owned by a potentially different service in the future, when the GID will be recycled.

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:
Tytuł
Autor
Data
Med.
systemd DynamicUser SetUID Binary Creation
Jann Horn
26.04.2019

Typ:

CWE-264

(Permissions, Privileges, and Access Controls)

CVSS2 => (AV:L/AC:L/Au:N/C:P/I:P/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
4.6/10
6.4/10
3.9/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Lokalny
Niska
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Częściowy
Affected software
Freedesktop -> Systemd 
Fedoraproject -> Fedora 

 Referencje:
http://www.securityfocus.com/bid/108096
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3844
https://security.netapp.com/advisory/ntap-20190619-0002/

Copyright 2024, cxsecurity.com

 

Back to Top