Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-04921

Опубликовано: 01 янв. 2023
Источник: fstec
CVSS3: 3.3
CVSS2: 1.7
EPSS Низкий

Описание

Уязвимость компонента lxc-user-nic системы виртуализации LXC связана с раскрытием информации через несоответствие. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации

Вендор

ООО «Ред Софт»
АО "НППКТ"
Сообщество свободного программного обеспечения

Наименование ПО

РЕД ОС
ОСОН ОСнова Оnyx
LXC

Версия ПО

7.3 (РЕД ОС)
до 2.9 (ОСОН ОСнова Оnyx)
до 5.0.1 включительно (LXC)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 1,7)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,3)

Возможные меры по устранению уязвимости

Для lxc:
https://github.com/lxc/lxc/commit/80553b5b412365f429aff93cff178e3e952ee6bd
https://bugs.launchpad.net/ubuntu/+source/lxc/+bug/1783591/comments/45
https://github.com/MaherAzzouzi/CVE-2022-47952
https://github.com/lxc/lxc/blob/0b83d71c2c8f3bac9503f894cd84584f79258bb3/lxc.spec.in#L274
https://github.com/lxc/lxc/blob/0b83d71c2c8f3bac9503f894cd84584f79258bb3/src/lxc/cmd/lxc_user_nic.c#L1085-L1104
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения lxc до версии 1:3.1.0+really3.0.3-8+deb10u1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 81%
0.01543
Низкий

3.3 Low

CVSS3

1.7 Low

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-47952

CVSS3: 3.3
ubuntu
больше 2 лет назад

lxc-user-nic in lxc through 5.0.1 is installed setuid root, and may allow local users to infer whether any file exists, even within a protected directory tree, because "Failed to open" often indicates that a file does not exist, whereas "does not refer to a network namespace path" often indicates that a file exists. NOTE: this is different from CVE-2018-6556 because the CVE-2018-6556 fix design was based on the premise that "we will report back to the user that the open() failed but the user has no way of knowing why it failed"; however, in many realistic cases, there are no plausible reasons for failing except that the file does not exist.

nvd логотип

CVE-2022-47952

CVSS3: 3.3
nvd
больше 2 лет назад

lxc-user-nic in lxc through 5.0.1 is installed setuid root, and may allow local users to infer whether any file exists, even within a protected directory tree, because "Failed to open" often indicates that a file does not exist, whereas "does not refer to a network namespace path" often indicates that a file exists. NOTE: this is different from CVE-2018-6556 because the CVE-2018-6556 fix design was based on the premise that "we will report back to the user that the open() failed but the user has no way of knowing why it failed"; however, in many realistic cases, there are no plausible reasons for failing except that the file does not exist.

debian логотип

CVE-2022-47952

CVSS3: 3.3
debian
больше 2 лет назад

lxc-user-nic in lxc through 5.0.1 is installed setuid root, and may al ...

suse-cvrf логотип

openSUSE-SU-2024:0342-1

suse-cvrf
8 месяцев назад

Security update for lxc

redos логотип

ROS-20240625-02

CVSS3: 3.3
redos
около 1 года назад

Уязвимость lxc

EPSS

Процентиль: 81%
0.01543
Низкий

3.3 Low

CVSS3

1.7 Low

CVSS2