Informazioni sul CVE-2021-25317
cups: ownership of /var/log/cups allows the lp user to create files as root
CWE ID: CWE-276
Base Score (CVSS): N/A
CVE: CVE-2021-25317
Descrizione: A Incorrect Default Permissions vulnerability in the packaging of cups of SUSE Linux Enterprise Server 11-SP4-LTSS, SUSE Manager Server 4.0, SUSE OpenStack Cloud Crowbar 9; openSUSE Leap 15.2, Factory allows local attackers with control of the lp users to create files as root with 0644 permissions without the ability to set the content. This issue affects: SUSE Linux Enterprise Server 11-SP4-LTSS cups versions prior to 1.3.9. SUSE Manager Server 4.0 cups versions prior to 2.2.7. SUSE OpenStack Cloud Crowbar 9 cups versions prior to 1.7.5. openSUSE Leap 15.2 cups versions prior to 2.2.7. openSUSE Factory cups version 2.3.3op2-2.1 and prior versions.
Vettore di attacco CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Local, Privilegi: Low, Interazione utente: None, Confidenzialità: None, Integrità: Low, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | L | Local | L’attaccante deve avere accesso locale al sistema. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | N | None | Nessun impatto sulla riservatezza. |
| Integrity Impact (I) | L | Low | Impatto limitato. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://bugzilla.suse.com/show_bug.cgi?id=1184161
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/H74BP746O5NNVCBUTLLZYAFBPESFVECV/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/S37IDQGHTORQ3Z6VRDQIGBYVOI27YG47/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/GWPGZLT3U776Q5YPPSA6LGFWWBDWBVH3/
Prodotti interessati
- SUSE – SUSE Linux Enterprise Server 11-SP4-LTSS
- SUSE – SUSE Manager Server 4.0
- SUSE – SUSE OpenStack Cloud Crowbar 9
- openSUSE – openSUSE Leap 15.2
- openSUSE – Factory
Relazioni con altri prodotti
Produttore:openSUSE
Prodotto: Factory
Anno: 2021
CWE: CWE-276
CVSS: 0.0
Produttore:SUSE
Prodotto: SUSE OpenStack Cloud Crowbar 9
Anno: 2021
CWE: CWE-276
CVSS: 0.0
Produttore:SUSE
Prodotto: SUSE Manager Server 4.0
Anno: 2021
CWE: CWE-276
CVSS: 0.0
Produttore:SUSE
Prodotto: SUSE Linux Enterprise Server 11-SP4-LTSS
Anno: 2021
CWE: CWE-276
CVSS: 0.0
Produttore:openSUSE
Prodotto: openSUSE Leap 15.2
Anno: 2021
CWE: CWE-276
CVSS: 0.0