Vulnerabilidad en el archivo de parche ./debian/patches/load_ppp_generic_if_needed en el proceso hijo modprobe en la variable de entorno MODPROBE_OPTIONS en Ubuntu Linux (CVE-2020-15704)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
01/09/2020
Última modificación:
18/11/2021
Descripción
El proceso hijo modprobe en el archivo de parche ./debian/patches/load_ppp_generic_if_needed manejó incorrectamente la carga del módulo. Un atacante local que no sea root podría explotar la variable de entorno MODPROBE_OPTIONS para leer archivos root arbitrarios. Corregido en las versiones 2.4.5-5ubuntu1.4, 2.4.5-5.1ubuntu2.3+esm2, 2.4.7-1+2ubuntu1.16.04.3, 2.4.7-2+2ubuntu1.3, 2.4.7-2+4.1ubuntu5.1, 2.4.7-2+4.1ubuntu6. Fue ZDI-CAN-11504
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
2.10
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:canonical:ppp:*:*:*:*:*:*:*:* | 2.4.7-1\+ubuntu1.16.04.3 (excluyendo) | |
| cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:a:canonical:ppp:*:*:*:*:*:*:*:* | 2.4.7-2\+2ubuntu1.3 (excluyendo) | |
| cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:a:canonical:ppp:*:*:*:*:*:*:*:* | 2.4.7-2\+4.1ubuntu5.1 (excluyendo) | |
| cpe:2.3:o:canonical:ubuntu_linux:20.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:a:canonical:ppp:*:*:*:*:*:*:*:* | 2.4.5-5ubuntu1.4 (excluyendo) | |
| cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:esm:*:*:* | ||
| cpe:2.3:a:canonical:ppp:*:*:*:*:*:*:*:* | 2.4.5-5.1ubuntu2.3\+esm2 (excluyendo) | |
| cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:esm:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página