NVE-4785
Редактировал(а) Олег Мальцев 2021/08/13 22:45
Уязвимость утилит управления пользователями useradd и adduser операционной системы ОСнова, связанная с использованием небезопасных настроек заданных по умолчанию, позволяющая нарушителю получить доступ к защищаемой информации
Описание уязвимости | Уязвимость утилит управления пользователями useradd и adduser операционной системы ОСнова связана с использованием небезопасных настроек заданных по умолчанию. Эксплуатация уязвимости может позволить нарушителю получить доступ к защищаемой информации |
Вендор | Сообщество свободного программного обеспечения, АО "НППКТ" |
Наименование ПО | useradd, adduser, ОСнова |
Версия ПО | 4.5-1.2osnova1.onyx useradd 3.118 adduser 2.0 ОСнова onyx |
Тип ПО | Системное ПО, Операционная система |
Операционные системы и аппаратные платформы | АО "НППКТ" ОСнова 2.0 onyx amd64 |
Тип ошибки | Некорректные права доступа по умолчанию |
Идентификатор типа ошибки | CWE-276 |
Класс уязвимости | Уязвимость кода |
Дата выявления | 11.08.2021 |
Базовый вектор уязвимости | CVSS 2.0: AV:L/AC:L/Au:N/C/I/A:N CVSS 3.0: AV:L/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N |
Уровень опасности уязвимости | Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,6) Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,9) |
Возможные меры по устранению уязвимости | Утилиты useradd и adduser имеют небезопасные настройки по умолчанию, в результате при входе в систему пользователи имеют возможность получить состав домашнего каталога других локальных пользователей. Для устранения уязвимости необходимо:
|
Статус уязвимости | Подтверждена производителем |
Наличие эксплойта | Данные уточняются |
Способ эксплуатации | Злоупотребление функционалом |
Способ устранения | Изменение прав доступа |
Информация об устранении | Уязвимость устранена |
Ссылки на источники | https://поддержка.нппкт.рф/bin/view/ОСнова/Уязвимости/NVE-4785/ |
Идентификаторы других систем описаний уязвимостей | BDU:2021-04046 https://bdu.fstec.ru/vul/2021-04046 |
Прочая информация | https://discourse.ubuntu.com/t/private-home-directories-for-ubuntu-21-04-onwards/19533 https://ubuntu.com/blog/private-home-directories-for-ubuntu-21-04 |
Порядок проверки существования уязвимости | версия пакета passwd <= 4.5-1.2osnova1.onyx версия пакета adduser <= 3.118 |