Inicio / Alerta Temprana / Vulnerabilidades / CVE-2018-19044

Vulnerabilidad en keepalived (CVE-2018-19044)

Tipo: 
Incorrecta resolución de una ruta antes de aceder a un fichero (Seguimiento de enlaces)
Gravedad: 
Baja
Fecha publicación : 
08/11/2018
Última modificación: 
06/08/2019
Descripción
keepalived 2.0.8 no buscaba nombres de ruta con enlaces simbólicos al escribir datos en un archivo temporal al llamar a PrintData o PrintStats. Esto permitía a los usuarios locales sobrescribir archivos arbitrarios si fs.protected_symlinks se establece en 0, tal y como lo demuestra un enlace simbólico desde /tmp/keepalived.data o /tmp/keepalived.stats a /etc/passwd.
Impacto
Vector de acceso: Local
Complejidad de Acceso: Media
Autenticación: No requerida para explotarla
Tipo de impacto: Afecta parcialmente a la integridad del sistema + No hay impacto en la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
  • Keepalived Keepalived 2.0.8
Explicación de los campos