Confira !!
Ken Gaillot descobriu uma vulnerabilidade no gerenciador de recursos do cluster Pacemaker: Se ACLs fossem configurados para usuários no grupo "haclient", as restrições de ACL poderiam ser contornadas por meio de comunicação IPC irrestrita, resultando na execução de código arbitrário em todo o cluster com
----- BEGIN PGP ASSIGNED MESSAGE -----
Hash: SHA512
- ------------------------------------------------- ------------------------
Debian Security Advisory DSA-4791-1 security@debian.org
https://www.debian.org/security/ Moritz Muehlenhoff
13 de novembro de 2020 https://www.debian.org/security/faq
- ------------------------------------------------- ------------------------
Pacote: marcapasso
ID CVE: CVE-2020-25654
Bug Debian: 973254
Ken Gaillot descobriu uma vulnerabilidade no cluster Pacemaker
gerenciador de recursos: se ACLs foram configurados para usuários no "haclient"
grupo, as restrições de ACL podem ser contornadas por meio de IPC irrestrito
comunicação, resultando na execução de código arbitrário em todo o cluster com
privilégios de root.
Se a opção de cluster "enable-acl" não estiver habilitada, os membros do
O grupo "haclient" pode modificar a base de informações do cluster do Pacemaker sem
restrição, que já lhes dá esses recursos, então há
nenhuma exposição adicional em tal configuração.
Para a distribuição estável (buster), este problema foi corrigido em
versão 2.0.1-5 + deb10u1.
Recomendamos que você atualize seus pacotes de marcapasso.
Para o status de segurança detalhado do marcapasso, consulte
sua página de rastreador de segurança em:
https://security-tracker.debian.org/tracker/pacemaker
Mais informações sobre os avisos de segurança do Debian, como se inscrever
essas atualizações em seu sistema e as perguntas mais frequentes podem ser
encontrado em: https://www.debian.org/security/
Lista de discussão: debian-security-announce@lists.debian.org
Até a próxima !!
Nenhum comentário:
Postar um comentário