Vulnerabilidad en el paquete Linux-PAM para openSUSE Tumbleweed (CVE-2022-28321)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
19/09/2022
Última modificación:
29/05/2025
Descripción
El paquete Linux-PAM versiones anteriores a 1.5.2-6.1 para openSUSE Tumbleweed, permite omitir la autenticación en los inicios de sesión SSH. El módulo pam_access.so no restringe correctamente el inicio de sesión si un usuario intenta conectarse desde una dirección IP que no es resoluble por medio de DNS. En tales condiciones, un usuario con acceso denegado a una máquina puede seguir accediendo. NOTA: la relevancia de este problema es limitada en gran medida a openSUSE Tumbleweed y openSUSE Factory; no afecta a Linux-PAM upstream
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:linux-pam:linux-pam:*:*:*:*:*:*:*:* | 1.5.2-6.1 (excluyendo) | |
| cpe:2.3:o:opensuse:tumbleweed:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://download.opensuse.org/source/distribution/openSUSE-current/repo/oss/src/
- https://bugzilla.suse.com/show_bug.cgi?id=1197654
- https://www.suse.com/security/cve/CVE-2022-28321.html
- http://download.opensuse.org/source/distribution/openSUSE-current/repo/oss/src/
- https://bugzilla.suse.com/show_bug.cgi?id=1197654
- https://www.suse.com/security/cve/CVE-2022-28321.html