Vulnerabilidad en libstorage, libstorage-ng y yast-storage (CVE-2016-5746)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
26/09/2016
Última modificación:
12/04/2025
Descripción
libstorage, libstorage-ng y yast-storage no almacenan correctamente frases de contraseña para dispositivos de almacenamiento cifrado en un archivo temporal en disco, lo que podría permitir a usuarios locales obtener información sensible leyendo el archivo, según lo demostrado mediante /tmp/libstorage-XXXXXX/pwdf.
Impacto
Puntuación base 3.x
5.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
1.20
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:opensuse:libstorage:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:opensuse:libstorage-ng:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:yast:yast-storage:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:opensuse:leap:42.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-updates/2016-09/msg00032.html
- http://www.securityfocus.com/bid/93169
- https://bugzilla.suse.com/show_bug.cgi?id=986971
- https://github.com/openSUSE/libstorage-ng/pull/123
- https://github.com/openSUSE/libstorage/pull/162
- https://github.com/openSUSE/libstorage/pull/163
- https://github.com/yast/yast-storage/pull/223
- https://github.com/yast/yast-storage/pull/224
- https://github.com/yast/yast-storage/pull/226
- https://github.com/yast/yast-storage/pull/227
- http://lists.opensuse.org/opensuse-updates/2016-09/msg00032.html
- http://www.securityfocus.com/bid/93169
- https://bugzilla.suse.com/show_bug.cgi?id=986971
- https://github.com/openSUSE/libstorage-ng/pull/123
- https://github.com/openSUSE/libstorage/pull/162
- https://github.com/openSUSE/libstorage/pull/163
- https://github.com/yast/yast-storage/pull/223
- https://github.com/yast/yast-storage/pull/224
- https://github.com/yast/yast-storage/pull/226
- https://github.com/yast/yast-storage/pull/227