Informazioni sul CVE-2024-45044
Bareos's negative command ACLs can be circumvented by abbreviating commands
CWE ID: CWE-285
Base Score (CVSS): N/A
CVE: CVE-2024-45044
Descrizione: Bareos is open source software for backup, archiving, and recovery of data for operating systems. When a command ACL is in place and a user executes a command in bconsole using an abbreviation (i.e. “w” for “whoami”) the ACL check did not apply to the full form (i.e. “whoami”) but to the abbreviated form (i.e. “w”). If the command ACL is configured with negative ACL that should forbid using the “whoami” command, you could still use “w” or “who” as a command successfully. Fixes for the problem are shipped in Bareos versions 23.0.4, 22.1.6 and 21.1.11. If only positive command ACLs are used without any negation, the problem does not occur.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: Low, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://github.com/bareos/bareos/security/advisories/GHSA-jfww-q346-r2r8
- https://github.com/bareos/bareos/pull/1875
- https://github.com/bareos/bareos/commit/2a026698b87d13bd1c6275726b5e826702f81dd5
Prodotti interessati
- bareos – bareos
Relazioni con altri prodotti
Produttore:bareos
Prodotto: bareos
Anno: 2024
CWE: CWE-285
CVSS: 0.0