BDU:2022-03745: Уязвимость функции PAM auth системы управления конфигурациями и удалённого выполнения операций Salt, позволяющая нарушителю выполнять произвольные команды

Описание уязвимости

Уязвимость функции PAM auth системы управления конфигурациями и удалённого выполнения операций Salt связана с отсутствием действительной блокировки "заблокированных учетных записей". Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, выполнять произвольные команды

Вендор

Novell Inc., Сообщество свободного программного обеспечения, SaltStack, Inc

Наименование ПО

SUSE Linux Enterprise Server for SAP Applications, Debian GNU/Linux, Suse Linux Enterprise Server, SUSE Linux Enterprise High Performance Computing, SUSE Enterprise Storage, SUSE CaaS Platform, Salt, SUSE Manager Tools

Версия ПО

  • 12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
  • 12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
  • 9.0 (Debian GNU/Linux)
  • 12 SP3 (Suse Linux Enterprise Server)
  • 12 SP4 (Suse Linux Enterprise Server)
  • 12 (SUSE Linux Enterprise High Performance Computing)
  • 15 SP1 (SUSE Linux Enterprise Server for SAP Applications)
  • 10.0 (Debian GNU/Linux)
  • 12 SP5 (Suse Linux Enterprise Server)
  • 12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
  • 6 (SUSE Enterprise Storage)
  • 12 (SUSE Linux Enterprise Server for SAP Applications)
  • 4.0 (SUSE CaaS Platform)
  • 15 SP1-BCL (Suse Linux Enterprise Server)
  • 15 SP1-LTSS (Suse Linux Enterprise Server)
  • 15 SP1-LTSS (SUSE Linux Enterprise High Performance Computing)
  • 15 SP1-ESPOS (SUSE Linux Enterprise High Performance Computing)
  • 11.0 (Debian GNU/Linux)
  • 12 (Suse Linux Enterprise Server)
  • до 3002.9 (Salt)
  • до 3003.5 (Salt)
  • до 3004.2 (Salt)
  • 12 (SUSE Manager Tools)

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
  • Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
  • Novell Inc. Suse Linux Enterprise Server 12 SP3
  • Novell Inc. Suse Linux Enterprise Server 12 SP4
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1
  • Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
  • Novell Inc. Suse Linux Enterprise Server 12 SP5
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
  • Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12
  • Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL
  • Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS
  • Сообщество свободного программного обеспечения Debian GNU/Linux 11.0
  • Novell Inc. Suse Linux Enterprise Server 12

Тип ошибки

Неправильная авторизация

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

23.06.2022

Базовый вектор уязвимости

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Salt:
https://saltproject.io/security_announcements/salt-security-advisory-release-june-21st-2022/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-22967

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-22967.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

  • Нарушение авторизации

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения