Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-04067

Опубликовано: 27 июл. 2018
Источник: fstec
CVSS3: 6.5
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость функции ssedb_search_user_by_upn_res() сервиса управления доступом к удаленным каталогам и механизмам аутентификации sssd связана с недостаточной проверкой вводимых данных при запросах к локальному кешу, в котором хранятся хэши паролей. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»

Наименование ПО

Debian GNU/Linux
Astra Linux Special Edition
sssd
Astra Linux Special Edition для «Эльбрус»

Версия ПО

9 (Debian GNU/Linux)
1.6 «Смоленск» (Astra Linux Special Edition)
8 (Debian GNU/Linux)
до 1.16.0 (sssd)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 8
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Для sssd:
Обновление программного обеспечения до 1.16.0 или более поздней версии
Для Astra Linux:
Обновление программного обеспечения (пакета sssd) до 1.16.3-3.1 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета sssd) до 1.11.7-3+deb8u2 или более поздней версии

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 64%
0.00471
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2017-12173

CVSS3: 4.3
ubuntu
больше 7 лет назад

It was found that sssd's sysdb_search_user_by_upn_res() function before 1.16.0 did not sanitize requests when querying its local cache and was vulnerable to injection. In a centralized login environment, if a password hash was locally cached for a given user, an authenticated attacker could use this flaw to retrieve it.

redhat логотип

CVE-2017-12173

CVSS3: 4.3
redhat
около 8 лет назад

It was found that sssd's sysdb_search_user_by_upn_res() function before 1.16.0 did not sanitize requests when querying its local cache and was vulnerable to injection. In a centralized login environment, if a password hash was locally cached for a given user, an authenticated attacker could use this flaw to retrieve it.

nvd логотип

CVE-2017-12173

CVSS3: 4.3
nvd
больше 7 лет назад

It was found that sssd's sysdb_search_user_by_upn_res() function before 1.16.0 did not sanitize requests when querying its local cache and was vulnerable to injection. In a centralized login environment, if a password hash was locally cached for a given user, an authenticated attacker could use this flaw to retrieve it.

debian логотип

CVE-2017-12173

CVSS3: 4.3
debian
больше 7 лет назад

It was found that sssd's sysdb_search_user_by_upn_res() function befor ...

suse-cvrf логотип

openSUSE-SU-2017:2942-1

suse-cvrf
около 8 лет назад

Security update for sssd

EPSS

Процентиль: 64%
0.00471
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2