Condor sérülékenységek

CH azonosító

CH-7609

Angol cím

Condor Multiple Vulnerabilities

Felfedezés dátuma

2012.09.19.

Súlyosság

Közepes

Érintett rendszerek

HTCondor
N/A

Érintett verziók

Condor 7.x

Összefoglaló

A Condor olyan sérülékenységei váltak ismertté, amelyeket kihasználva rosszindulatú, helyi felhasználók emelt szintű jogosultságot szerezhetnek, rosszindulatú felhasználók megkerülhetnek bizonyos biztonsági szabályokat, illetve támadók bizalmas információkat szerezhetnek és feltörhetik a sérülékeny rendszert.

Leírás

  1. A HTTP POST kérések egyes paramétereinek kezelésekor fellépő hiba kihasználható munka attribútum (job attribute) megváltoztatására (például Owner attribútum).
  2. A fájlrendszer azonosítási mechanizmus egy hibája nem biztonságos jogosultsággal történő könyvtárak létrehozásának engedélyezését eredményezheti (pl. chmod 777), továbbá különböző jogosultságokkal munka (job) létrehozása válik lehetővé.
  3. A startd egy GIVE_REQUEST_AD handlerrel kapcsolatos hibája kihasználható a ClaimId felfedésére és munka (job) vezérlésére vagy indítására.
    A sérülékenység sikeres kihasználásának a feltétele egy folyamat PID-jének ismerete.
  4. Munka megszakítás kérés kezelésével kapcsolatos hiba, kizárólag a WRITE engedélyezéssel kapcsolatos jogosultság érvényesítésnél, kihasználható idle állapotban lévő munka (idle job) megszakítására.

A sérülékenység a 7.8.4 előtti verziókban található.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-24228 – Apple sebezhetősége
CVE-2025-24097 – Apple sebezhetősége
CVE-2024-20440 – Cisco Smart Licensing Utility sebezhezősége
CVE-2025-1268 – Canon sebezhetősége
CVE-2025-2783 – Google Chromium Mojo Sandbox Escape sebezhetősége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
Tovább a sérülékenységekhez »