Vulnerabilidad en Pacemaker (CVE-2016-7035)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-285
Autorización incorrecta
Fecha de publicación:
10/09/2018
Última modificación:
07/11/2023
Descripción
Se ha detectado un error en Pacemaker en versiones anteriores a la 1.1.6 por el que no protegía correctamente su interfaz IPC. Un atacante con una cuenta sin privilegios en un nodo Pacemaker podría emplear este error para, por ejemplo, forzar al demonio Local Resource Manager para que ejecute un script como root y, por lo tanto, obtenga acceso root a la máquina
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Puntuación base 2.0
7.20
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:clusterlabs:pacemaker:*:*:*:*:*:*:*:* | 1.1.16 (incluyendo) | |
| cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server_eus:7.3:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server_eus:7.4:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server_eus:7.5:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server_eus:7.6:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://rhn.redhat.com/errata/RHSA-2016-2614.html
- http://rhn.redhat.com/errata/RHSA-2016-2675.html
- http://www.openwall.com/lists/oss-security/2016/11/03/5
- http://www.securityfocus.com/bid/94214
- https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-7035
- https://github.com/ClusterLabs/pacemaker/commit/5d71e65049
- https://lists.clusterlabs.org/pipermail/users/2016-November/004432.html
- https://security.gentoo.org/glsa/201710-08