正文

PacemakerACL绕过限制漏洞

admin
admin V管理员 /0 评论 /18 阅读
0418
此篇文章发布距今已超过1114天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2020-25654

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-11-25
漏洞描述
Pacemaker是一款可扩展的高可用性集群资源管理器。 在1.1.24-rc1和2.0.5-rc2之前的pacemaker中发现了ACL旁路漏洞。在群集上和haclient组中具有本地帐户的攻击者可以直接与各种守护程序一起使用IPC通信来执行某些任务,如果它们通过了配置,ACL将阻止它们执行某些任务。
解决建议

目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法: https://vigilance.fr/vulnerability/Pacemaker-privilege-escalation-via-CIB-IPC-33689


参考链接
https://bugzilla.redhat.com/show_bug.cgi?id=1888191
https://lists.clusterlabs.org/pipermail/users/2020-October/027840.html
https://lists.debian.org/debian-lts-announce/2021/01/msg00007.html
https://seclists.org/oss-sec/2020/q4/83
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 clusterlabs pacemaker * Up to
(excluding)
1.1.23
运行在以下环境
应用 clusterlabs pacemaker * From
(including)
2.0.0 		Up to
(excluding)
2.0.3
运行在以下环境
应用 clusterlabs pacemaker 2.0.5 -
运行在以下环境
系统 alibaba_cloud_linux_2.1903 pacemaker * Up to
(excluding)
2.0.4-6.1.al8.1
运行在以下环境
系统 amazon_2 pacemaker * Up to
(excluding)
1.1.23-1.amzn2.1
运行在以下环境
系统 centos_7 pacemaker * Up to
(excluding)
1.1.23-1.el7_9.1
运行在以下环境
系统 centos_8 pacemaker * Up to
(excluding)
2.0.4-6.el8_3.1
运行在以下环境
系统 debian_10 pacemaker * Up to
(excluding)
2.0.1-5+deb10u1
运行在以下环境
系统 debian_11 pacemaker * Up to
(excluding)
2.0.4-2
运行在以下环境
系统 debian_9 pacemaker * Up to
(excluding)
1.1.24-0+deb9u1
运行在以下环境
系统 debian_sid pacemaker * Up to
(excluding)
2.0.4-2
运行在以下环境
系统 fedora_32 pacemaker * Up to
(excluding)
2.0.5-0.5.rc2.fc32
运行在以下环境
系统 fedora_33 pacemaker * Up to
(excluding)
2.0.5-0.5.rc2.fc33
运行在以下环境
系统 opensuse_Leap_15.1 pacemaker * Up to
(excluding)
2.0.1
运行在以下环境
系统 opensuse_Leap_15.2 pacemaker * Up to
(excluding)
2.0.4
运行在以下环境
系统 oracle_7 pacemaker * Up to
(excluding)
1.1.23-1.0.1.el7_9.1
运行在以下环境
系统 oracle_8 pacemaker * Up to
(excluding)
2.0.4-6.el8_3.1
运行在以下环境
系统 redhat_8 pacemaker * Up to
(excluding)
2.0.4-6.el8_3.1
运行在以下环境
系统 ubuntu_16.04 pacemaker * Up to
(excluding)
1.1.14-2ubuntu1.9
运行在以下环境
系统 ubuntu_18.04 pacemaker * Up to
(excluding)
1.1.18-0ubuntu1.3
运行在以下环境
系统 ubuntu_20.04 pacemaker * Up to
(excluding)
2.0.3-3ubuntu4.1
运行在以下环境
系统 unionos_20 pacemaker * Up to
(excluding)
2.0.1-5+deb10u1
阿里云评分 1.7
  • 攻击路径 远程
  • 攻击复杂度 复杂
  • 权限要求 管控权限
  • 影响范围 有限影响
  • EXP成熟度 未验证
  • 补丁情况 官方补丁
  • 数据保密性 无影响
  • 数据完整性 无影响
  • 服务器危害 无影响
  • 全网数量 100
CWE-ID 漏洞类型 CWE-284 访问控制不恰当 NVD-CWE-Other