Vulnerabilidad en DIRAC (CVE-2024-29905)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
09/04/2024
Última modificación:
05/01/2026
Descripción
DIRAC es un interware, es decir, un marco de software para informática distribuida. Antes de la versión 8.0.41, durante el proceso de generación del proxy (por ejemplo, cuando se usa `dirac-proxy-init`), es posible que usuarios no autorizados en la misma máquina obtengan acceso de lectura al proxy. Esto permite al usuario realizar cualquier acción posible con el proxy original. Esta vulnerabilidad solo existe durante un corto período de tiempo (menos de un milisegundo) durante el proceso de generación. La versión 8.0.41 contiene un parche para el problema. Como workaround, configurar la variable de entorno `X509_USER_PROXY` en una ruta que esté dentro de un directorio que solo sea legible para el usuario actual evita el riesgo potencial. Una vez escrito el archivo, se puede copiar de forma segura a la ubicación estándar (`/tmp/x509up_uNNNN`).
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:diracgrid:dirac:*:*:*:*:*:*:*:* | 8.0.41 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/DIRACGrid/DIRAC/commit/1faa709341969a6321e29c843ca94039d33b2c3d
- https://github.com/DIRACGrid/DIRAC/security/advisories/GHSA-v6f3-gh5h-mqwx
- https://github.com/DIRACGrid/DIRAC/commit/1faa709341969a6321e29c843ca94039d33b2c3d
- https://github.com/DIRACGrid/DIRAC/security/advisories/GHSA-v6f3-gh5h-mqwx