Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpena data: 2020/05/06

Garrantzia: Kritikoa

Kaltetutako baliabideak:

• Salt, 3000.1 bertsioa eta lehenagokoak;
• Salt, 2019.2.3 bertsioa eta lehenagokoak.

Azalpena:

F-Secureren ikertzaileek Salti bere Framework Salti eragiten dioten larritasun kritikoko bi ahultasunen berri eman diote. Urruneko erasotzaile batek autentifikazio kontrolak saihets litzake eta kode arbitrarioa exekutatu sisteman root pribilegioekin.

Konponbidea:

• Salt 3000.X 3000.2 bertsiora edo berriago batera eguneratzea.
• Salt 2019.X 2019.2.4 bertsiora edo berriago batera eguneratzea.

Xehetasuna:

• Salt-master prozesuko ClearFuncs klaseak ez ditu modu egokian baliozkotzen metodoetarako deiak. Urruneko erasotzaile batek metodo batzuetara sarbidea lor lezake autentifikazioa saihestuz. Ahultasun horretarako CVE-2020-11651 identifikatzailea erabili da.
• Salt-master prozesuko ClearFuncs klaseak ahalbidetzen du bideak modu desegokian saneatzen dituzten metodo batzuetara sartzea. Autentifikatutako urruneko erasotzaile batek direktorioetara sarbidea lor lezake. Ahultasun horretarako CVE-2020-11652 identifikatzailea erabili da.

Etiketak: Eguneraketa, Ahultasuna