Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en contraseñas como parámetros de línea de comandos en stonith-ng en pacemaker y cluster-glue (CVE-2010-2496)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-287 Autenticación incorrecta
Fecha de publicación:
18/10/2021
Última modificación:
21/11/2024

Descripción

stonith-ng en pacemaker y cluster-glue pasaba contraseñas como parámetros de línea de comandos, que hacía posible que los atacantes locales obtuvieran acceso a las contraseñas de la pila de HA e influyeran potencialmente en sus operaciones. Esto se ha corregido en cluster-glue versiones 1.0.6 y posteriores, y en pacemaker versiones 1.1.3 y posteriores

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:clusterlabs:cluster_glue:*:*:*:*:*:*:*:* 1.0.6 (excluyendo)
cpe:2.3:a:clusterlabs:pacemaker:*:*:*:*:*:*:*:* 1.1.3 (excluyendo)