Vulnerabilidad en Yubico pam-u2f intenta analizar el archivo de configuración configurado (CVE-2019-12209)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-59
Incorrecta resolución de una ruta antes de aceder a un fichero (Seguimiento de enlaces)
Fecha de publicación:
04/06/2019
Última modificación:
07/11/2023
Descripción
Yubico pam-u2f 1.0.7 intenta analizar el archivo de configuración configurado (predeterminado $ HOME / .config / Yubico / u2f_keys) como root (a menos que se haya habilitado openasuser), y no verifica correctamente que la ruta carece de enlaces simbólicos que apuntan a otros archivos en el Sistema propiedad de root. Si la opción de depuración está habilitada en la configuración de PAM, se registrará parte del contenido del archivo de un objetivo de enlace simbólico, posiblemente revelando información confidencial.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:yubico:pam-u2f:1.0.7:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00012.html
- http://lists.opensuse.org/opensuse-security-announce/2019-07/msg00018.html
- http://www.openwall.com/lists/oss-security/2019/06/05/1
- https://developers.yubico.com/pam-u2f/Release_Notes.html
- https://github.com/Yubico/pam-u2f/commit/7db3386fcdb454e33a3ea30dcfb8e8960d4c3aa3
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/5FOR4ADC356JPCHAJI5UXZORLC3VNBPS/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ZCGU6UQLI3ZTW3UYCTMQW7VDL5M4LCWR/