CVE-2024-45044
CVE-2024-45044
Título es
CVE-2024-45044
Mar, 10/09/2024 – 15:15
Tipo
CWE-285
Gravedad 2.0 Txt
Pendiente de análisis
Título en
CVE-2024-45044
Descripción es
Bareos es un software de código abierto para realizar copias de seguridad, archivar y recuperar datos de sistemas operativos. Cuando hay una ACL de comando y un usuario ejecuta un comando en bconsole utilizando una abreviatura (es decir, "w" para "whoami"), la comprobación de la ACL no se aplica a la forma completa (es decir, "whoami"), sino a la forma abreviada (es decir, "w"). Si la ACL de comando está configurada con una ACL negativa que debería prohibir el uso del comando "whoami", aún podría usar "w" o "who" como comando correctamente. Las correcciones para el problema se incluyen en las versiones 23.0.4, 22.1.6 y 21.1.11 de Bareos. Si solo se utilizan ACL de comando positivas sin ninguna negación, el problema no ocurre.
Descripción en
Bareos is open source software for backup, archiving, and recovery of data for operating systems. When a command ACL is in place and a user executes a command in bconsole using an abbreviation (i.e. "w" for "whoami") the ACL check did not apply to the full form (i.e. "whoami") but to the abbreviated form (i.e. "w"). If the command ACL is configured with negative ACL that should forbid using the "whoami" command, you could still use "w" or "who" as a command successfully. Fixes for the problem are shipped in Bareos versions 23.0.4, 22.1.6 and 21.1.11. If only positive command ACLs are used without any negation, the problem does not occur.
10/09/2024
10/09/2024
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Gravedad 3.1 (CVSS 3.1 Base Score)
8.80
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
HIGH
Referencias
Enviar en el boletín
Off
