Vulnerabilidad en syslog en el archivo support.c en pam_tacplus (CVE-2020-13881)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-532
Exposición de información a través de archivos de log
Fecha de publicación:
06/06/2020
Última modificación:
05/04/2022
Descripción
En el archivo support.c en pam_tacplus versiones 1.3.8 hasta 1.5.1, el secreto compartido TACACS+ es registrado por medio de syslog si el nivel de registro DEBUG y journald son usados
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:pam_tacplus_project:pam_tacplus:*:*:*:*:*:*:*:* | 1.3.8 (incluyendo) | 1.5.1 (incluyendo) |
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:esm:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:20.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:a:arista:cloudvision_portal:*:*:*:*:*:*:*:* | 2020.1.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2020/06/08/1
- https://github.com/kravietz/pam_tacplus/commit/4a9852c31c2fd0c0e72fbb689a586aabcfb11cb0
- https://github.com/kravietz/pam_tacplus/issues/149
- https://lists.debian.org/debian-lts-announce/2020/06/msg00007.html
- https://lists.debian.org/debian-lts-announce/2021/08/msg00006.html
- https://usn.ubuntu.com/4521-1/
- https://www.arista.com/en/support/advisories-notices/security-advisories/11705-security-advisory-50