Informazioni sul CVE-2023-3899
Subscription-manager: inadequate authorization of com.redhat.rhsm1 d-bus interface allows local users to modify configuration
CWE ID: CWE-285
Base Score (CVSS): N/A
CVE: CVE-2023-3899
Descrizione: A vulnerability was found in subscription-manager that allows local privilege escalation due to inadequate authorization. The D-Bus interface com.redhat.RHSM1 exposes a significant number of methods to all users that could change the state of the registration. By using the com.redhat.RHSM1.Config.SetAll() method, a low-privileged local user could tamper with the state of the registration, by unregistering the system or by changing the current entitlements. This flaw allows an attacker to set arbitrary configuration directives for /etc/rhsm/rhsm.conf, which can be abused to cause a local privilege escalation to an unconfined root.
Vettore di attacco CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Local, Privilegi: Low, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | L | Local | L’attaccante deve avere accesso locale al sistema. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://access.redhat.com/errata/RHSA-2023:4701
- https://access.redhat.com/errata/RHSA-2023:4702
- https://access.redhat.com/errata/RHSA-2023:4703
- https://access.redhat.com/errata/RHSA-2023:4704
- https://access.redhat.com/errata/RHSA-2023:4705
- https://access.redhat.com/errata/RHSA-2023:4706
- https://access.redhat.com/errata/RHSA-2023:4707
- https://access.redhat.com/errata/RHSA-2023:4708
- https://access.redhat.com/security/cve/CVE-2023-3899
- https://bugzilla.redhat.com/show_bug.cgi?id=2225407
Prodotti interessati
- Red Hat – Red Hat Enterprise Linux 7
- Red Hat – Red Hat Enterprise Linux 8
- Red Hat – Red Hat Enterprise Linux 8
- Red Hat – Red Hat Enterprise Linux 8.1 Update Services for SAP Solutions
- Red Hat – Red Hat Enterprise Linux 8.2 Advanced Update Support
- Red Hat – Red Hat Enterprise Linux 8.2 Telecommunications Update Service
- Red Hat – Red Hat Enterprise Linux 8.2 Update Services for SAP Solutions
- Red Hat – Red Hat Enterprise Linux 8.4 Advanced Mission Critical Update Support
- Red Hat – Red Hat Enterprise Linux 8.4 Telecommunications Update Service
- Red Hat – Red Hat Enterprise Linux 8.4 Update Services for SAP Solutions
- Red Hat – Red Hat Enterprise Linux 8.6 Extended Update Support
- Red Hat – Red Hat Enterprise Linux 9
- Red Hat – Red Hat Enterprise Linux 9.0 Extended Update Support
- Red Hat – Red Hat Enterprise Linux 6
Relazioni con altri prodotti
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 7
Anno: 2023
CWE: CWE-285
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 8
Anno: 2023
CWE: CWE-285
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 9
Anno: 2023
CWE: CWE-285
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 6
Anno: 2023
CWE: CWE-285
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 8.6 Extended Update Support
Anno: 2023
CWE: CWE-285
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 8.2 Advanced Update Support
Anno: 2023
CWE: CWE-285
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 8.2 Telecommunications Update Service
Anno: 2023
CWE: CWE-285
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 8.2 Update Services for SAP Solutions
Anno: 2023
CWE: CWE-285
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 8.4 Advanced Mission Critical Update Support
Anno: 2023
CWE: CWE-285
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 8.4 Telecommunications Update Service
Anno: 2023
CWE: CWE-285
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 8.4 Update Services for SAP Solutions
Anno: 2023
CWE: CWE-285
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 9.0 Extended Update Support
Anno: 2023
CWE: CWE-285
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 8.1 Update Services for SAP Solutions
Anno: 2023
CWE: CWE-285
CVSS: 0.0