GLSA 202407-05: SSSD: Command Injection

Опасность:	средняя
Заголовок:	SSSD: Command Injection
Дата:	01.07.2024
Ошибки:	#808911
ID:	202407-05

Сводка

A vulnerability has been discovered in SSSD, which can lead to arbitrary code execution.

Назначение

SSSD provides a set of daemons to manage access to remote directories and authentication mechanisms such as LDAP, Kerberos or FreeIPA. It provides an NSS and PAM interface toward the system and a pluggable backend system to connect to multiple different account sources.

Уязвимые пакеты

Пакет	Уязвимый	Нетронутый	Архитектура(ы)
sys-auth/sssd	< 2.5.2-r1	>= 2.5.2-r1	All supported architectures

Описание

A vulnerability has been discovered in SSSD. Please review the CVE identifier referenced below for details.

Воздействие

A flaw was found in SSSD, where the sssctl command was vulnerable to shell command injection via the logs-fetch and cache-expire subcommands. This flaw allows an attacker to trick the root user into running a specially crafted sssctl command, such as via sudo, to gain root access.

Обход

There is no known workaround at this time.

Решение

All SSSD users should upgrade to the latest version:

          # emerge --sync
          # emerge --ask --oneshot --verbose ">=sys-auth/sssd-2.5.2-r1"
        

Ссылки

• CVE-2021-3621

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-202407-05.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.