Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-07876

Опубликовано: 08 авг. 2024
Источник: fstec
CVSS3: 7.1
CVSS2: 6.2
EPSS Низкий

Описание

Уязвимость реализации механизма OTP программного обеспечения аутентификации OATH Toolkit связана с неверным определением символических ссылок перед доступом к файлу. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии до уровня root и создавать символьные ссылки на критические системные файлы

Вендор

Novell Inc.
Сообщество свободного программного обеспечения
Red Hat Inc.
ООО «РусБИТех-Астра»

Наименование ПО

openSUSE Tumbleweed
Debian GNU/Linux
Red Hat Openshift Container Storage
Red Hat Ceph Storage
Astra Linux Special Edition
OATH Toolkit

Версия ПО

- (openSUSE Tumbleweed)
12 (Debian GNU/Linux)
4 (Red Hat Openshift Container Storage)
5 (Red Hat Ceph Storage)
6 (Red Hat Ceph Storage)
7 (Red Hat Ceph Storage)
1.8 (Astra Linux Special Edition)
от 2.6.7 до 2.6.12 (OATH Toolkit)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Novell Inc. openSUSE Tumbleweed -
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для oath-toolkit:
https://gitlab.com/oath-toolkit/oath-toolkit/-/commit/3235a52f6b87cd1c5da6508f421ac261f5e33a70
https://gitlab.com/oath-toolkit/oath-toolkit/-/commit/3271139989fde35ab0163b558fc29e80c3a280e5
https://gitlab.com/oath-toolkit/oath-toolkit/-/commit/60d9902b5c20f27e70f8e9c816bfdc0467567e1a
https://gitlab.com/oath-toolkit/oath-toolkit/-/commit/95ef255e6a401949ce3f67609bf8aac2029db418
https://gitlab.com/oath-toolkit/oath-toolkit/-/issues/43
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-47191
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-47191.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-47191
Для ОС Astra Linux:
обновить пакет oath-toolkit до 2.6.7-3.1+deb12u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 13%
0.00042
Низкий

7.1 High

CVSS3

6.2 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-47191

CVSS3: 7.1
ubuntu
больше 1 года назад

pam_oath.so in oath-toolkit 2.6.7 through 2.6.11 before 2.6.12 allows root privilege escalation because, in the context of PAM code running as root, it mishandles usersfile access, such as by calling fchown in the presence of a symlink.

redhat логотип

CVE-2024-47191

CVSS3: 7.1
redhat
больше 1 года назад

pam_oath.so in oath-toolkit 2.6.7 through 2.6.11 before 2.6.12 allows root privilege escalation because, in the context of PAM code running as root, it mishandles usersfile access, such as by calling fchown in the presence of a symlink.

nvd логотип

CVE-2024-47191

CVSS3: 7.1
nvd
больше 1 года назад

pam_oath.so in oath-toolkit 2.6.7 through 2.6.11 before 2.6.12 allows root privilege escalation because, in the context of PAM code running as root, it mishandles usersfile access, such as by calling fchown in the presence of a symlink.

msrc логотип

CVE-2024-47191

CVSS3: 7.1
msrc
больше 1 года назад

Описание отсутствует

debian логотип

CVE-2024-47191

CVSS3: 7.1
debian
больше 1 года назад

pam_oath.so in oath-toolkit 2.6.7 through 2.6.11 before 2.6.12 allows ...

EPSS

Процентиль: 13%
0.00042
Низкий

7.1 High

CVSS3

6.2 Medium

CVSS2