CVE-2024-45339
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/01/2025
Última modificación:
17/02/2025
Descripción
Cuando los registros se escriben en un directorio de amplia escritura (el predeterminado), un atacante sin privilegios puede predecir la ruta del archivo de registro de un proceso privilegiado y crear previamente un enlace simbólico a un archivo confidencial en su lugar. Cuando se ejecuta ese proceso privilegiado, seguirá el enlace simbólico plantado y sobrescribirá ese archivo confidencial. Para solucionarlo, glog ahora hace que el programa salga (con el código de estado 2) cuando descubre que el archivo de registro configurado ya existe.
Impacto
Puntuación base 3.x
7.10
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://github.com/golang/glog/pull/74
- https://github.com/golang/glog/pull/74/commits/b8741656e406e66d6992bc2c9575e460ecaa0ec2
- https://groups.google.com/g/golang-announce/c/H-Q4ouHWyKs
- https://owasp.org/www-community/vulnerabilities/Insecure_Temporary_File
- https://pkg.go.dev/vuln/GO-2025-3372
- https://lists.debian.org/debian-lts-announce/2025/02/msg00019.html