Laburpen exekutiboa
Linux kernel-ean, zehazki OverlayFS azpisistemaren, ahultasun larri bat (7.8) atzeman da. Gertaera honek setuid fitxategiaren exekuziorako baimen ez autorizatua ahalbidetzen du, uid mapeatze okerrean bitartez. Ondorioz, erabiltzaile lokalak bere pribilegioak sistema honetan igotzeko aukera du, sistema honen segurtasunerako mehatxu larria errepresentatuz. Oso garrantzitsua da ahultasun hau ahalik eta azkarren konpontzea arrisku potentzialak arintzeko.
Eragindako baliabideak
- Linux Kernel (ez dira bertsioak zehazten)
Azterketa teknikoa
- CVE-2023-0386: Linux kernel-ean akats bat aurkitu da, non setuid fitxategiaren exekuziorako baimen ez autorizatua aurkitu zen OverlayFS azpisistemaren Linux kernel-ean, nola erabiltzaileak gai den fitxategi bat nosuid muntaketatik beste muntaketa batera kopiatzen duen moduan. Uid mapeatze akats honek erabiltzaile lokalari aukera ematen dio bere pribilegioak sistema honetan igotzeko.
- CWE-282
- CVSS: 7.8 (larria)
- CVSS Vektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
- Explotazioa: Detektatua
Arintzea/Konponbidea
Linux fabrikatzaileak gomendatzen du arintzeak aplikatzea, OverlayFS geruzan Linux kernel-ean aurkitutako akats honen harira ematen dituzten argibideak jarraituz. Gainera, BOD 22-01 gida aplikagarria jarraitzea gomendatzen du hodei zerbitzuetarako. Arintzeak ez badira eskuragarri, gomendatzen da produktuaren erabilera etetea, erabiltzaile lokal batek bere pribilegioak igotzea ekiditeko.