ISN 2024-12: Sicherheitslücke in der Starter Lizenzprüfung
Erstveröffentlichung am 15. Mai 2024
CVSS 3.1: 7.8 (hoch)
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Zusammenfassung
Im Starter Lizenzprüfungsmechanismus von IGEL OS wurde eine Sicherheitslücke entdeckt. Diese betrifft die folgenden IGEL-Produkte:
IGEL OS 12
IGEL OS 11
Details
Ein Fehler im Code zur Überprüfung der Gültigkeit der Starter Lizenz kann es einem lokalen Angreifer ermöglichen, beliebige Befehle als nicht privilegierter Benutzer auszuführen. Diese Schwachstelle wird als hoch eingestuft.
IGEL bedankt sich bei Zack Didcott für die koordinierte Offenlegung.
Update - Anweisungen
OS 12: Aktualisieren Sie auf Version 12.4.0 des IGEL OS 12 Basissystems.
OS 11: Aktualisieren Sie auf IGEL OS Version 11.10.100.
Quellen
CWE-427: Uncontrolled Search Path Element: CWE-427: Uncontrolled Search Path Element