Informazioni sul CVE-2024-10041
Pam: libpam: libpam vulnerable to read hashed password
CWE ID: CWE-922
Base Score (CVSS): N/A
CVE: CVE-2024-10041
Descrizione: Una vulnerabilità è stata scoperta in PAM. Le informazioni riservate sono memorizzate in memoria, dove l’attaccante può far eseguire al programma vittima inviando caratteri al suo input standard (stdin). In questo modo, l’attaccante può addestrare il predictor di branch a eseguire una catena ROP in modo speculativo. Questa vulnerabilità potrebbe portare alla divulgazione di password, come quelle trovate in /etc/shadow durante le autenticazioni.
Vettore di attacco CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Local, Privilegi: Low, Interazione utente: None, Confidenzialità: High, Integrità: None, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | L | Local | L’attaccante deve avere accesso locale al sistema. |
| Attack Complexity (AC) | H | High | L’attacco richiede condizioni particolari o avanzate. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://access.redhat.com/errata/RHSA-2024:10379
- https://access.redhat.com/errata/RHSA-2024:11250
- https://access.redhat.com/errata/RHSA-2024:9941
- https://access.redhat.com/security/cve/CVE-2024-10041
- https://bugzilla.redhat.com/show_bug.cgi?id=2319212
Prodotti interessati
- Sconosciuto – Sconosciuto
- Red Hat – Red Hat Enterprise Linux 8
- Red Hat – Red Hat Enterprise Linux 9
- Red Hat – Red Hat Enterprise Linux 9
- Red Hat – Red Hat Enterprise Linux 9.4 Extended Update Support
- Red Hat – Red Hat Enterprise Linux 7
Relazioni con altri prodotti
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 7
Anno: 2024
CWE: CWE-922
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 8
Anno: 2024
CWE: CWE-922
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 9
Anno: 2024
CWE: CWE-922
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 9.4 Extended Update Support
Anno: 2024
CWE: CWE-922
CVSS: 0.0