Vulnerabilidad en el componente namespace en un sistema de archivos FUSE en el kernel de Linux (CVE-2019-20794)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

09/05/2020

Última modificación:

21/07/2021

Descripción

Se detectó un problema en el kernel de Linux versiones 4.18 hasta 5.6.11, cuando los espacios de nombre de un usuario no privilegiado están permitidos. Un usuario puede crear su propio espacio de nombre PID, y montar un sistema de archivos FUSE. Tras interactuar con este sistema de archivos FUSE, si el componente namespace es finalizado por medio de la eliminación del pid 1 del espacio de nombre PID, resultará en una suspensión de tarea, y los recursos se bloquearán permanentemente hasta que se reinicie el sistema. Esto puede resultar en un agotamiento de los recursos.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.70 MEDIA
Vector: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

4.70

Gravedad 3.x

MEDIA

Vector 2.0

AV:L/AC:M/Au:N/C:N/I:N/A:C CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.70 MEDIA
Vector: AV:L/AC:M/Au:N/C:N/I:N/A:C

Vector de acceso (AV): Local
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Completo