Vulnerabilidad en Cobbler (CVE-2021-45083)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/02/2022
Última modificación:
07/11/2023
Descripción
Se ha detectado un problema en Cobbler versiones anteriores a 3.3.1. Los archivos en /etc/cobbler son legibles para el mundo. Dos de esos archivos contienen información confidencial que puede ser expuesta a un usuario local que tenga acceso no privilegiado al servidor. El archivo users.digest contiene el resumen sha2-512 de los usuarios en una instalación local de Cobbler. En el caso de una contraseña fácil de adivinar, es trivial obtener la cadena en texto plano. El archivo settings.yaml contiene secretos como la contraseña por defecto con hash
Impacto
Puntuación base 3.x
7.10
Gravedad 3.x
ALTA
Puntuación base 2.0
3.60
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cobbler_project:cobbler:*:*:*:*:*:*:*:* | 3.3.1 (excluyendo) | |
| cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:36:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://bugzilla.suse.com/show_bug.cgi?id=1193671
- https://github.com/cobbler/cobbler/releases
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/TEJN7CPW6YCHBFQPFZKGA6AVA6T5NPIW/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/Z5CSXQE7Q4TVDQJKFYBO4XDH3BZ7BLAR/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ZCXMOUW4DH4DYWIJN44SMSU6R3CZDZBE/
- https://www.openwall.com/lists/oss-security/2022/02/18/3