Yubico pam-u2f 1.0.7 Log File File Descriptor divulgación de información

ArtículoeditarHistoryDiffjsonxmlCTI

Una vulnerabilidad clasificada como crítica ha sido encontrada en Yubico pam-u2f 1.0.7. Una función desconocida del componente Log File es afectada por esta vulnerabilidad. No hay información respecto a posibles contramedidas. Se sugiere sustituir el producto con un equivalente.

Cronología

Usuario

Campo

Commit Conf

Approve Conf

IDComprometidoUsuarioCampoCambioObservacionesModeradoRazónC
90311412020-06-19VulD...confirm_urlhttps://developers.yubico.com/pam-u2f/Release_Notes.htmldevelopers.yubico.com2020-06-19aceptado100
90311542019-06-05VulD...cvss3_nvd_basescore8.1nist.gov2019-06-05aceptado90
90311532019-06-05VulD...cvss3_vuldb_rcX2019-06-05aceptado90
90311522019-06-05VulD...cvss3_vuldb_rlX2019-06-05aceptado90
90311512019-06-05VulD...cvss3_vuldb_eX2019-06-05aceptado90
90311502019-06-05VulD...cvss2_vuldb_rcND2019-06-05aceptado90
90311492019-06-05VulD...cvss2_vuldb_rlND2019-06-05aceptado90
90311482019-06-05VulD...cvss2_vuldb_eND2019-06-05aceptado90
90311472019-06-05VulD...locationWebsite2019-06-05aceptado90
90311462019-06-05VulD...seealso1359392019-06-05aceptado100
90311452019-06-05VulD...cve_nvd_summaryIn Yubico pam-u2f 1.0.7, when configured with debug and a custom debug log file is set using debug_file, that file descriptor is not closed when a new process is spawned. This leads to the file descriptor being inherited into the child process; the child process can then read from and write to it. This can leak sensitive information and also, if written to, be used to fill the disk or plant misinformation.mitre.org2019-06-05aceptado100
90311442019-06-05VulD...cve_assigned1558310400mitre.org2019-06-05aceptado100
90311432019-06-05VulD...cveCVE-2019-12210mitre.org2019-06-05aceptado100
90311422019-06-05VulD...price_0day$0-$5ksee documentation2019-06-05aceptado100
90311402019-06-05VulD...urlhttps://developers.yubico.com/pam-u2f/Release_Notes.htmldevelopers.yubico.com2019-06-05aceptado100
90311392019-06-05VulD...date1559606400 (2019-06-04)2019-06-05aceptado100
90311382019-06-05VulD...cvss3_nvd_aNnist.gov2019-06-05aceptado100
90311372019-06-05VulD...cvss3_nvd_iHnist.gov2019-06-05aceptado100
90311362019-06-05VulD...cvss3_nvd_cHnist.gov2019-06-05aceptado100
90311352019-06-05VulD...cvss3_nvd_sUnist.gov2019-06-05aceptado100

Interested in the pricing of exploits?

See the underground prices here!