CH azonosító
CH-10130Angol cím
SUSE update for SUSE Lifecycle Management Server (SLMS)Felfedezés dátuma
2013.12.09.Súlyosság
AlacsonyÉrintett rendszerek
Lifecycle Management ServerSUSE
Érintett verziók
SUSE Lifecycle Management Server (SLMS) 1.x
Összefoglaló
A SUSE kiadott egy frissítést a SUSE Lifecycle Management Server (SLMS)-hez, amely két olyan sérülékenységet javít, melyeket kihasználva a rosszindulatú helyi felhasználók emelt szintű jogosultságokat szerezhetnek és megkerülhetnek bizonyos biztonsági szabályokat.
Leírás
1) A program alapértelmezetten “Rails secret token”-t használ, melyet kihasználva megkerülhetőek bizonyos biztonsági szabályok.
2) A program bizonyos, nem biztonságos nyílt hozzáférésű engedélyekkel rendelkező titkos kulcsokat hoz létre, melyeket kihasználva SLMS felhasználó jogosultságai válnak átvehetővé.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Frissítse a programot a zypper package manageren kereszül.
Támadás típusa
Other (Egyéb)Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
SECUNIA56000
CVE-2013-3710 - NVD CVE-2013-3710
Gyártói referencia: www.suse.com