Vulnerabilidad en efs-utils (CVE-2022-46174)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-362
Ejecución concurrente utilizando recursos compartidos con una incorrecta sincronización (Condición de carrera)
Fecha de publicación:
28/12/2022
Última modificación:
11/01/2023
Descripción
efs-utils es un conjunto de utilidades para Amazon Elastic File System (EFS). Existe un posible problema de condición de ejecución dentro del asistente de montaje de Amazon EFS en las versiones efs-utils v1.34.3 y anteriores. Cuando se utiliza TLS para montar sistemas de archivos, el asistente de montaje asigna un puerto local para que stunnel reciba conexiones NFS antes de aplicar el túnel TLS. En las versiones afectadas, las operaciones de montaje simultáneas pueden asignar el mismo puerto local, lo que provoca operaciones de montaje fallidas o una asignación inadecuada de los puntos de montaje locales de un cliente de EFS a los sistemas de archivos EFS de ese cliente. Este problema se solucionó en la versión v1.34.4. No se recomienda ningún workaround. Recomendamos a los usuarios afectados que actualicen la versión instalada de efs-utils a la v1.34.4 o posterior.
Impacto
Puntuación base 3.x
4.20
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:amazon:efs-utils:*:*:*:*:*:*:*:* | 1.34.4 (excluyendo) | |
| cpe:2.3:a:amazon:elastic_file_system_container_storage_interface_driver:*:*:*:*:*:go:*:* | 1.4.8 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página