Vulnerabilidad en setup en Fedora y Red Hat Enterprise Linux (CVE-2018-1113)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
03/07/2018
Última modificación:
09/10/2019
Descripción
setup en versiones anteriores a la 2.11.4-1.fc28 en Fedora y Red Hat Enterprise Linux añadía /sbin/nologin y /usr/sbin/nologin a /etc/shells. Esto viola las asunciones de seguridad realizadas por pam_shells y algunos demonios, lo que permite el acceso en base a que el shell de un usuario se lista en /etc/shells. En algunas circunstancias, los usuarios a los que se les haya cambiado el shell a /sbin/nologin podrían seguir siendo capaces de acceder al sistema.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.60
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:redhat:setup:*:*:*:*:*:*:*:* | 2.11.4 (excluyendo) | |
| cpe:2.3:o:fedoraproject:fedora:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_workstation:7.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página