Vulnerabilidad en Performance Co-Pilot (CVE-2023-6917)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/02/2024
Última modificación:
01/04/2025
Descripción
Se ha identificado una vulnerabilidad en el paquete Performance Co-Pilot (PCP), derivada de los niveles de privilegios mixtos utilizados por los servicios systemd asociados con PCP. Si bien ciertos servicios operan dentro de los límites de privilegios limitados de usuario/grupo de PCP, a otros se les otorgan privilegios completos de raíz. Esta disparidad en los niveles de privilegios plantea un riesgo cuando los procesos raíz privilegiados interactúan con directorios o árboles de directorios propiedad de usuarios PCP sin privilegios. Específicamente, esta vulnerabilidad puede comprometer el aislamiento del usuario de PCP y facilitar ataques locales de PCP a raíz, particularmente a través de ataques de enlace simbólico. Estas vulnerabilidades subrayan la importancia de mantener mecanismos sólidos de separación de privilegios dentro de PCP para mitigar la posibilidad de una escalada de privilegios no autorizada.
Impacto
Puntuación base 3.x
6.00
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:sgi:performance_co-pilot:*:*:*:*:*:*:*:* | 6.2.0 (excluyendo) | |
| cpe:2.3:o:redhat:enterprise_linux:9.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://access.redhat.com/errata/RHSA-2024:2213
- https://access.redhat.com/security/cve/CVE-2023-6917
- https://bugzilla.redhat.com/show_bug.cgi?id=2254983
- https://access.redhat.com/errata/RHSA-2024:2213
- https://access.redhat.com/security/cve/CVE-2023-6917
- https://bugzilla.redhat.com/show_bug.cgi?id=2254983